Politica Control de Cambios

Septiembre
Manual de Procedimiento de
Gestión de Cambios (TI) 2019
Este documento contiene la primera versión del Procedimiento
Gestión de Cambios para el Banco Central del Ecuador. Versión 1.0
COORDINACOORDINACIÓN GENERAL DE TECNOLOGÍAS

DE LA INFORMACIÓN Y COMUNICACIÓN
© 2019. Dirección de Procesos Calidad e Innovación - Coordinación General de Planificación y

Gestión Estratégica に Banco Central del Ecuador.
Todos los derechos reservados.

El presente documento no puede ser reproducido, distribuido, comunicado públicamente,
archivado o introducido en un sistema de recuperación de información, o transmitido, en
cualquier forma y por cualquier medio (electrónico, mecánico, fotográfico, grabación o
cualquier otro), total o parcialmente, sin el previo consentimiento por escrito del Banco Central
del Ecuador.
ÍNDICE
REVISIÓN Y APROBACIÓN ......................................................................................................... 3

CONTROL DE HISTORIAL DE CAMBIOS............................................................................ 4
INFORMACIÓN GENERAL................................................................................................... 5
1. OBJETIVO ........................................................................................................................ 6
2. BASE NORMATIVA ............................................................................................................ 6
3. GLOSARIO........................................................................................................................ 8
4. ÁMBITO DE APLICACIÓN ................................................................................................. 10
5. POLÍTICAS DEL PROCESO ................................................................................................. 10
6. DESCRIPCIÓN DEL PROCEDIMIENTO DE CAMBIOS .............................................................. 12
1 El Técnico CGTIC responsable del cambio .......................................................................... 12
2 Oficial de Seguridad ........................................................................................................ 12
3 Usuario de Negocio ........................................................................................................ 12
Solicitud de cambio ............................................................................................................ 12
7. DESCRIPCIÓN DEL PROCEDIMIENTO ELABORACIÓN DE SOLICITUD DE CAMBIO ..................... 13
7.1 Ficha del procedimiento elaboración de solicitud de cambio ............................................ 13
Solicitud de cambio Emergente por parte del Responsable del activo ...................................... 13
7.2 Diagrama de flujo del procedimiento de elaboración de solicitud de cambio ..................... 14
7.3 Actividades del procedimiento elaboración solicitud de cambio ....................................... 15
8. DESCRIPCIÓN DEL PROCEDIMIENTO DE APROBACIÓN DE CAMBIO ....................................... 16
8.1 Ficha del procedimiento aprobación del cambio ............................................................. 16
8.2 Diagrama de flujo del procedimiento aprobación del cambio ........................................... 17
8.3 Actividades del procedimiento de aprobación del cambio............................................... 18
9. DESCRIPCIÓN DEL PROCEDIMIENTO DE IMPLEMENTACIÓN Y CIERRE DEL CAMBIO ................ 19
9.1 Ficha del procedimiento de implementación y cierre del cambio ...................................... 19
9.2 Diagrama de flujo de procedimiento de implementación y cierre del cambio ..................... 20
9.3 Actividades de implementación y cierre del cambio ........................................................ 21
10. INDICADORES DE GESTIÓN ........................................................................................... 22
11. ANEXOS Cao 1 Aprobación de Requerimiento de Cambio ................................................ 23
MANUAL DE PROCEDIMIENTO DE CAMBIOS
CÓDI
ÓDIGO VERSIÓN PÁG
PÁGINA
MP
P-086 1.0 Página
ina 3 de 23
REVISIÓN Y APROBACIÓN
Revisado y Validado por: Firma

Firmado digitalmente por VICTOR
Coordinador General de Tecno
cnologías GEOVANNY BARRIONUEVO
BOLANOS
de la Información y Comunicac
icación Fecha: 2019.09.17 14:43:36 -05'00'
Firmado digitalmente por REYNA

Coordinadora General de Plani
lanificación VERONICA VALENCIA REINEL
Fecha: 2019.09.17 12:47:11
y Gestión Estratégica -05'00'
Firmado digitalmente por

Coordinador General Jurídico DIEGO ABRAHAN LARA FLOR
Fecha: 2019.09.17 13:27:50
-05'00'
Director Nacional de Riesgos

os de Firmado digitalmente por CHRISTIAN
GERMAN MERA PROANO
Fecha: 2019.09.17 12:19:43 -05'00'
Operaciones
Firmado digitalmente por PAUL

Director de Infraestructura y LENIN ITURRALDE SALAZAR
Fecha: 2019.09.17 14:38:32
Operaciones TI -05'00'

Director de Aseguramiento de la OCTAVIO FERNANDO ALBUJA
ROMERO
Calidad y Seguridad Informátic
ática Fecha: 2019.09.17 10:54:04 -05'00'
Firmado digitalmente por FABIAN

Director de Desarrollo Informá
rmático IGNACIO DE LA CRUZ DOMINGUEZ
Fecha: 2019.09.17 13:41:01 -05'00'

Director de Soporte Informátic
ático, JOSE RAUL MEJIA RECALDE
Encargado Fecha: 2019.09.17 10:54:29
-05'00'
Director de Procesos, Calidad

ad e Firmado digitalmente por DANIEL
EDUARDO VASCO VITERI
Innovación Fecha: 2019.09.17 11:29:54 -05'00'
Firmado digitalmente por ANA

Especialista de Servicios, Proce
rocesos y LUCIA ESPINEL PACHECO
Fecha: 2019.09.17 10:34:34
Calidad -05'00'
Aprobado por: Firma
Firmado digitalmente por JANETH

Subgerente General OLIVA MALDONADO ROMAN
Fecha: 2019.09.19 11:52:28 -05'00'
Recuerde: Este documento ha sido aprobado

ado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
in
CÓDIGO VERSIÓN PÁGINA
MP-086 1.0 Página 5 de 22
INFORMACIÓN GENERAL
TÍTULO Manual de Procedimiento de Cambios
Carla Pasquel
Autores: Dirección de Asesoramiento de la Calidad
El presente documento tendrá vigencia a partir de la fecha de su

Vigencia:
aprobación.
Subgerente General, mediante Resolución Administrativa No. BCE-093-

Aprobación:
2019 de 07 de marzo de 2019, Artículo 1, numeral 4.
Responsabilidad Director Nacional de Riesgos de Operaciones

de la ejecución, Director de Infraestructura y Operaciones TI
del control Director de Aseguramiento de la Calidad y Seguridad Informática
previo y Director de Desarrollo Informático
concurrente: Director de Soporte Informático
El presente documento normativo será revisado y actualizado por las áreas

Responsabilidad
previstas en Responsabilidad de la Ejecución, del Control Previo y
de la revisión y
Concurrente.
actualización:
Responsabilidad
Dirección Nacional de Auditoría Interna Bancaria y/o Gubernamental, en el
de la evaluación
ámbito de su competencia.
de control
interno:
El presente documento normativo será distribuido por la Dirección de

Distribución:
Gestión Documental y Archivo a los servidores previstos en
Responsabilidad de la Ejecución, del Control Previo y Concurrente.
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
1. OBJETIVO
El objetivo primordial de la Gestión de Cambios es que se realicen e implementen
adecuadamente todos los cambios necesarios en la infraestructura y servicios de Tecnologías
de la Información y Comunicación (TIC), con el fin de minimizar el impacto de incidentes
eventuales. Los cambios en la infraestructura de TIC pueden surgir de forma reactiva en
respuesta a problemas o necesidades impuestas desde el exterior, por ejemplo, los cambios
legislativos. Por otro lado, puede ser una actividad proactiva para lograr una mayor eficiencia
y eficacia en la organización. Las principales razones para la realización de cambios de TI son:
 Solución de errores conocidos.
 Desarrollo de nuevos servicios.
 Mantenimiento de aplicaciones
 Mejora de los servicios existentes (hardware y software)
 Mejoras técnicas de las aplicaciones existentes
 Requerimientos legales.
La Gestión de Cambios se requiere para asegurar que los cambios de TIC:

 Están justificados.
 Se llevan a cabo sin perjuicio de la calidad del servicio TIC.
 Están convenientemente registrados, clasificados y documentados.
 Han sido cuidadosamente testeados en un entorno de prueba.
 Se ven reflejados en la CMDB.
2. BASE NORMATIVA
 Artículo 226, 227 y 303 de la Constitución de la República.
 Artículo 3, 4, 5 y 11 del Código Orgánico Administrativo
 Normas de Control Interno para las Entidades, Organismos del Sector Público y
Personas Jurídicas de Derecho Privado que Dispongan de Recursos Públicos, , 410
Tecnología de la Información, publicada en el Registro Oficial Suplemento No. 87 de 14
de diciembre de 2009.
- 410-04 Políticas y procedimientos

La máxima autoridad de la entidad aprobará las políticas y procedimientos que
permitan organizar apropiadamente el área de tecnología de información y
asignar el talento humano calificado e infraestructura tecnológica necesaria.
La Unidad de Tecnología de Información definirá, documentará y difundirá las

políticas, estándares y procedimientos que regulen las actividades relacionadas
con tecnología de información y comunicaciones en la organización, estos se
actualizarán permanentemente e incluirán las tareas, los responsables de su
ejecución, los procesos de excepción, el enfoque de cumplimiento y el control
de los procesos que están normando, así como, las sanciones administrativas a
que hubiere lugar si no se cumplieran.
Temas como la calidad, seguridad, confidencialidad, controles internos,

propiedad intelectual, firmas electrónicas y mensajería de datos, legalidad del
software, entre otros, serán considerados dentro de las políticas y
procedimientos a definir, los cuales además, estarán alineados con las leyes
conexas emitidas por los organismos competentes y estándares de tecnología de
información.
Será necesario establecer procedimientos de comunicación, difusión y

coordinación entre las funciones de tecnología de información y las funciones
propias de la organización.
Se incorporarán controles, sistemas de aseguramiento de la calidad y de gestión

de riesgos, al igual que directrices y estándares tecnológicos.
Se implantarán procedimientos de supervisión de las funciones de tecnología de

información, ayudados de la revisión de indicadores de desempeño y se medirá
el cumplimiento de las regulaciones y estándares definidos.
 La Unidad de Tecnología de Información deberá promover y establecer convenios con

otras organizaciones o terceros a fin de promover y viabilizar el intercambio de
información interinstitucional, así como de programas de aplicación desarrollados al
interior de las instituciones o prestación de servicios relacionados con la tecnología de
información. NT-001 Norma para la Administración de la Seguridad de la Información
del Banco Central del Ecuador.
- Literal 5.2.3.1 De la responsabilidad del Oficial de Seguridad de la Información:

Definir procedimientos para el control de cambios a los procesos operativos, los
sistemas e instalaciones, y verificar su cumplimiento, de manera que no afecten
la seguridad de la información.
- Literal 5.2.3.2 De la responsabilidad del Oficial de Seguridad de la Información:

Establecer criterios de seguridad para nuevos sistemas de información,
actualizaciones y nuevas versiones, contemplando la realización de las pruebas
antes de su aprobación definitiva.
- Literal 5.6.2.2 De la Administración de Cambios: Se deberá implementar una

metodología para la correcta administración de cambios en el ambiente de
producción
- Literal 5.6.2.3 De la Administración de Cambios: Identificar claramente los

procesos y documentación que aplica para un control de cambios normal y
emergente
- Literal 5.6.2.4 De la Administración de Cambios: Se deberán manejar los cambios

en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las
políticas, procedimientos y controles de seguridad de la información existentes

teniendo en cuenta el grado crítico de los sistemas y procesos del BCE
involucrados y la re evaluación de los riesgos.
3. GLOSARIO
Acuerdos de nivel de servicio (SLA): especifican compromisos que son niveles de servicio
acordados entre el proveedor de servicios y el cliente.
Acuerdo de Nivel Operacional (OLA): Acuerdo de Operación / Nivel Operativo es un acuerdo

entre un proveedor de servicios de TI y otra parte de la misma organización
BMC Remedy Action Request System: Herramienta para el registro de incidentes y cambios
relacionados a servicios de la Coordinación General de Tecnologías de la Información y
Comunicación.
Cambio Estándar: son cambios ya establecidos, pre-autorizados, los tipos de cambios estándar
se detallan en el Anexo 5: Lista de Cambios Estándar:
- Pre Condiciones:
El sistema a realizar el cambio estándar no debe registrar temas pendientes por
regularizar (cambios emergentes, defectos bloqueantes y críticos a nivel funcional).
Comité Asesor de Cambios (CAB): se encarga de autorizar, ajustar o rechazar la solicitud de

cambio. Es un órgano interno, presidido por el Gestor de Cambios, y está conformado por:
- Responsable del Activo de Información y/o su delegado
- Oficial de Seguridad de la Información (cuando sea requerido, el activo de información
afectado es crítico)
- Coordinador del cambio y; el o los especialistas del producto afectado por el cambio.
- Directores de la CGTIC o sus delegados
- Gestor del Cambio
Para la decisión tendrán voz y voto el Gestor de Cambios, el Responsable del Activo de
Información o su delegado y los Directores de la CGTIC o sus delegados y Oficial de Seguridad
de la Información.
Comité Asesor de Cambios de Emergencia (ECAB): se encarga de autorizar, ajustar o rechazar

una SDC de emergencia. Se recurre a este proceso cuando los procedimientos regulares de
Gestión de Cambios no son aplicables, dada la acción inmediata requerida en casos de
emergencia. Está precedido por el Coordinador General de Tecnologías de la Información o su
delegado, y está conformado por:
- El Director del área afín al cambio
- Cuando exista impacto en el negocio y el cambio afecte a un servicio crítico de la
institución se convocará a:El Oficial de Seguridad de la Información de la institución
Coordinador de Cambios: es el responsable de la gestión del cambio (asignación de las tareas

a los diferentes involucrados) y del producto final asociado al cambio, buscando el
funcionamiento eficiente y la satisfacción de las necesidades de los involucrados en la Gestión
de Cambios.
Especialistas de QA: aseguran el cumplimento de la calidad de los productos, documentación,

realizando las respectivas pruebas de los procesos.
Gestor de Cambios: Es el responsable convocar al Comité Asesor de Cambios y el registro de la

decisión del mismo.
Impacto: son las consecuencias de las derivaciones que puede ocasionar a la organización la
materialización del riesgo.
Ítem de Configuración (CI): son elementos de configuración que hacen parte de una
agrupación; componentes de una infraestructura que están o estarán bajo manejo de
configuración. Un CI puede ser un simple módulo, como un monitor o elementos más
complejos, como un sistema completo.
MCS: Módulo de Control de Sistemas del Banco Central del Ecuador
Prioridad: es el resultado de la evaluación del impacto y la urgencia de los cambios.
Requerimientos: son nuevas solicitudes que generan los usuarios sobre el servicio brindado.
Responsable del Activo de la Información: es la persona encargada de cuidar la integridad,

confidencialidad y disponibilidad de los activos de información; tiene autoridad para especificar
y exigir las medidas de seguridad necesarias a los custodios de los activos de información para
cumplir con sus responsabilidades. Esta responsabilidad recae sobre el Nivel Jerárquico
Superior.
Solicitud de Cambio (SDC): es un requerimiento formal de cambio en espera de ser

implementado. Incluye detalles del cambio propuesto y estará documentado en un formulario
específico. Se lo manejará bajo el flujo de cambio normal.
Solicitud de Cambio Emergente: es un requerimiento formal autorizado por el ECAB, tiene

como fin reparar la interrupción del servicio de alto impacto, ya sea por el número de usuarios
afectados o porque se han visto involucrados sistemas o servicios críticos para la institución y
se debe encontrar una respuesta inmediata.
Usuario: persona que utiliza el servicio o genera los requerimientos dentro del proceso de
Gestión de Cambios.
MP-086 1.0 Página 10 de 22
Urgencia: medida de la criticidad para el negocio de un cambio basada en el impacto sobre las
necesidades de negocios del Cliente.
4. ÁMBITO DE APLICACIÓN
 Banco Central del Ecuador (Planta Central)

 Dirección Zonal Guayaquil
 Dirección Zonal Cuenca.
5. POLÍTICAS DEL PROCESO

El proceso de Gestión de Cambios requiere considerar las siguientes políticas.
Tabla 1: Políticas del Proceso de Gestión de Cambios
Política Descripción
Cualquier modificación y/o creación de servicios tecnológicos o elementos de
configuración (CI), debe seguir de forma obligatoria el Procedimiento de Gestión
001
de Cambios. No se implementarán cambios si no se ha regularizado previamente,
sean cambios emergentes o estándar del CI.
Los proveedores externos sólo podrán proponer una Solicitud de Cambio a través
002
de los Especialistas de la Institución, quienes seguirán este proceso.
003 El análisis de riesgo e impacto, es obligatorio para la Gestión de Cambios.
Todo cambio debe iniciar a través de un SDC y seguir las actividades del proceso.
Debe ser categorizado como: cambio normal, cambio estándar o cambio
004
emergente, los cuales deben pasar por el conocimiento y autorización de los
miembros del CAB y del ECAB respectivamente.
005 Las órdenes de trabajo o tareas deberán estar enlazadas a un SDC.
Todo cambio emergente debe tener como entrada un incidente asociado como
006
crítico y de solución inmediata.
Todo cambio emergente será regularizado en un plazo máximo de tres días
007
hábiles de implementado el cambio en el ambiente de producción.
La revisión de las métricas deberá ser trimestral y estará a cargo del Coordinador
008
de Cambios e informado al Gestor de Cambios.
Los cambios que sean rechazados o pendientes, deberán tener el estado
009
correspondiente y el motivo por el que se toma la decisión.
Los cambios deberán tener un tiempo estimado de trabajo asociado y notificado
010
a la Mesa de Ayuda si se afecta un servicio.
Los cambios estándares son cambios ya establecidos, pre-autorizados por la
Organización. Los cambios estándares no ingresarán a ser revisados por el CAB,
011
sino que irán directamente a la Implementación del mismo. El responsable de
calificar el cambio como estándar será el Coordinador del Cambio.
Las SDC cuyo fin es el de introducir de forma inmediata las mejoras que impactan
013 al negocio se gestionan implementando el presente procedimiento.
El Consejo Asesor de Cambios (CAB) es convocado de acuerdo al tipo de cambio
014
del presente procedimiento.
MP-086 1.0 Página 11 de 22
6. DESCRIPCIÓN DEL PROCEDIMIENTO DE CAMBIOS

PROCEDIMIENTO: Procedimiento de Cambios
OBJETIVO DEL Planificar y aprobar los cambios de software y de hardware para que se canalice
PROCEDIMIENTO: adecuadamente su implementación.
RESPONSABLE DEL
Coordinador General de Tecnologías de la Información y Comunicación
PROCEDIMIENTO:
DISPARADOR: Requerimiento de Cambio
RECURSOS
MATERIALES HUMANOS TECNOLÓGICOS FINANCIEROS

Equipo de Coordinador de Cambios Herramienta BMC Remedy Presupuesto
Computo Action Request System asignado
Suministros de ITIL V3 2011
Oficina 1 El Técnico CGTIC
responsable del cambio
COBIT 5
2 Oficial de Seguridad
3 Usuario de Negocio
Responsable del activo de
la Información
Comité de cambios (CAB)
Responsable del activo de
la información
Director encargado del
cambio
Responsable de la Gestión
de Aseguramiento de la
Calidad
Comité de cambios de
Emergencia (ECAB)
PROVEEDORES ENTRADAS
CGTIC Solicitud de cambio
SALIDAS CLIENTES
Notificación de cierre de incidente Usuario del aplicativo o del negocio
BASE LEGAL / CONTROLES

CGE Normas de Control Interno 410
Literal 410-04 Políticas y procedimientos
NT-001 Norma para la Administración de la Seguridad de la Información del Banco Central del
Ecuador
Literal 5.2.3.1, Literal 5.2.3.2, Literal 5.6.2.2, Literal 5.6.2.3, Literal 5.6.2.4
CAB/ECAB
MP-086 1.0 Página 12 de 22
7. DESCRIPCIÓN DEL PROCEDIMIENTO ELABORACIÓN DE SOLICITUD DE CAMBIO
7.1 Ficha del procedimiento elaboración de solicitud de cambio

PROCEDIMIENTO: Elaboración de Solicitud de Cambio
OBJETIVO DEL Identificar la necesidad de cambio y validar el registro de información del
PROCEDIMIENTO: requerimiento de cambio a través de la solicitud de cambio (Anexo 1:
Requerimiento de Cambio).
RESPONSABLE DEL
Coordinador del Cambio
PROCEDIMIENTO:
DISPARADOR: Solicitud de Cambio (SDC)
RECURSOS

Equipo de Coordinador del Cambio Herramienta BMC Remedy Presupuesto
Computo Action Request System asignado
Suministros de Oficial de Seguridad (DNRO) ITIL V3 2011
Oficina
Comité Asesor de Cambios COBIT 5
de Emergencia (ECAB)
Usuario de Negocio
Técnico Responsable de
CGTIC
Responsable del Activo de la
información
Usuario de negocio (Unidades Administrativas) Solicitud de cambio Emergente por parte del
Responsable del activo
Solicitud de cambio normal o estándar por

parte del Responsable del activo
SALIDAS CLIENTES
Solicitud de cambio (SDC) validada para aprobación Coordinador del Cambio
del comité
Ecuador
CAB/ECAB
MP-086 1.0 Página 13 de 22
7.2 Diagrama de flujo del procedimiento de elaboración de solicitud de cambio
MP-086 1.0 Página 14 de 22
7.3 Actividades del procedimiento elaboración solicitud de cambio

# RESPONSABLE TAREAS DOCUMENTOS
ASOCIADOS
Recibe el requerimiento de cambio y gestiona de
El Coordinador acuerdo a la necesidad solicitada (cambio normal/
1
del Cambio cambio estándar o cambio emergente)
Si es un cambio Normal o Estándar:

Delegar al técnico responsable para la elaboración de la
El Coordinador solicitud de cambio
2
del Cambio Si es cambio emergente pasa al procedimiento de
implementación y cierre de cambios.
Pasa a la actividad 13.
El Técnico CGTIC
Contactar al Usuario del Negocio para definir el alcance
3 responsable del
del requerimiento.
cambio
El Técnico CGTIC Llenar el Anexo 1 con la participación de los Anexo 1
4 responsable del involucrados, Especialista de Riesgos y Usuario de Requerimiento
cambio Negocio. Cada uno la Sección que le corresponde. de Cambio
Revisar la información de la SDC
El Coordinador Si no está conforme con el contenido del Anexo 1 pasa
5
del Cambio a la actividad 6; si está en conformidad pasa a la
actividad 7.
El Coordinador Rechazar cambio en ingresa en el sistema Remedy con
6
del Cambio las observaciones pertinentes y regresa a la actividad 5.
Valida la información del el Anexo 1 firma y entrega al
El Coordinador
7 usuario del sistema para el Aval del Oficial de
del Cambio
Seguridad.
Revisa los riesgos del cambio según el numeral 4 y 10
Oficial de
8 del Anexo 1; si no está conforme rechaza la SDC y
Seguridad
regresa a la tarea 5, caso contrario pasa a la tarea 9
Oficial de Valida la información del Anexo 1 firma y entregar al
9
Seguridad usuario del negocio
Entrega el Anexo 1 con todas las firmas de validación
Usuario del
10 del contenido al responsable del activo para su
Negocio
verificación
Revisa la solicitud de cambio si está conforme con el
Responsable del
contenido la información pasa a la tarea 12, caso
11 activo de la
contrario rechaza el cambio y remite al coordinador
Información
para el cierre del cambio, regresa a la tarea 5.
Anexo 1
Responsable del Valida la SDC, firma y escanea y remite al coordinador
validado con
12 activo de la de la información por correo electrónico para su
firmas de
Información gestión. Con lo que finaliza el proceso
responsabilidad
MP-086 1.0 Página 15 de 22
Coordinador de Analizar nivel de riesgo de solicitud y convocar a comité

13
Cambio de emergencia
Coordinador de
14 Solicitar la aprobación del ECAB mediante el sistema
Cambio
Coordinador de
15 Convocar al Oficial de Seguridad
Cambio
Comité Asesor de
Cambios de Evaluar y Aprobar las acciones de implementación del
16
Emergencia cambio
(ECAB)
Notificación de
Coordinador de Registrar la decisión del cambio o rechazo en la
17 aprobación del
Cambio herramienta Remedy
cambio
8. DESCRIPCIÓN DEL PROCEDIMIENTO DE APROBACIÓN DE CAMBIO
8.1 Ficha del procedimiento aprobación del cambio

PROCEDIMIENTO: Aprobación del Cambio
OBJETIVO DEL Determinar la factibilidad cambio en función de los requerimientos
PROCEDIMIENTO: institucionales para la aprobación o negación de la solicitud de cambio. NOTA:
Se registra en el (Anexo 2: Aprobación de Cambios)
RESPONSABLE DEL
PROCEDIMIENTO:
DISPARADOR: Anexo 1 validado con firmas de responsabilidad
RECURSOS

Herramienta BMC Remedy Presupuesto
Computador Coordinador de Cambio asignado
Action Request System
Gestor de Cambio ITIL V3 2011
Comité Asesor de cambios (CAB) COBIT 5
Responsable del activo de la Información Anexo 1 validado con firmas de responsabilidad

SALIDAS CLIENTES
Anexo 2 con el registro de aprobación o negación
de la SDC Responsable del Activo de la Información

Ecuador
MP-086 1.0 Página 16 de 22
8.2 Diagrama de flujo del procedimiento aprobación del cambio
MP-086 1.0 Página 17 de 22
8.3 Actividades del procedimiento de aprobación del cambio

DOCUMENTOS
# RESPONSABLE TAREAS
ASOCIADOS
Recibe el Anexo 1 validado por el responsable del
activo de la información
Coordinador de Procesa la solicitud de cambio y de acuerdo al
1 Anexo 1 validado
cambio tipo:
Si es cambio normal pasa a la tarea 2.
Si es cambio estándar pasa a la tarea 11.
Coordinador de Adjuntar cambio en el sistema Remedy y colocar
2
cambio para aprobación del comité
Recibe mediante e-mail la notificación de
aceptación de cambio revisa la SDC para
Notificación de
determinar el nivel de riesgo que implica la
3 Gestor de cambio aceptación de
ejecución del cambio y convoca al comité dos
cambio
veces por semana en las fechas establecidas.
Si el impacto del cambio es medio o bajo pasa a

4 Gestor de cambio la tarea 4.
Si el impacto del cambio es alto pasa a la tarea 5.
Impacto medio o bajo:
Convocar al comité asesor de cambios a través de
5 Gestor de cambio
Lotus Notes (todos los directores de CGTIC y el
responsable del activo de la información)
Impacto alto:
Convocar al Oficial de Seguridad o su delegado a
6 Gestor de cambio reunión mediante Lotus Note para que se sume al
comité asesor de cambios para el análisis de la
solicitud
Evalúa y prioriza los cambios para minimizar
tanto el riesgo como el impacto en el usuario, al
momento de la implementación de acuerdo a:
Comité Asesor de  Posibles conflictos con las normas o

7 políticas internas.
cambios
 Los riesgos y el plan de implementación.
 Posibles conflictos con otros cambios
programados o eventos planificados.
Registra la decisión de aprobación o negación en
el Anexo 2.
8 Gestor de cambio Si el análisis es favorable pasa a la tarea 9.
Si el análisis rechaza el cambio pasa a la tarea 10
MP-086 1.0 Página 18 de 22
Si el cambio es rechazado, el CAB le pide al

Coordinador del Cambio si esa fue la razón por la
cual se rechazó el cambio y pasa a la actividad 9
Comité Asesor de Aprueba el anexo 2 en conformidad con la
9
cambios reunión de comité y pasa a la tarea 11.
Realiza el análisis de riesgos e impacto adicional o
Coordinador de
10 solicita ajustar la planificación al usuario del
cambio
servicio registra en el sistema Remedy
Escanear y subir Anexo 2 en el sistema Remedy y Anexo 2 aprobado /
11 Gestor de cambio
asignar al Coordinador del Cambio rechazado
9. DESCRIPCIÓN DEL PROCEDIMIENTO DE IMPLEMENTACIÓN Y CIERRE DEL CAMBIO
9.1 Ficha del procedimiento de implementación y cierre del cambio

PROCEDIMIENTO: Implementación y Cierre del Cambio
OBJETIVO DEL Revisión final e Implementar el cambio solicitado, y seguimiento para el cierre
PROCEDIMIENTO: del cambio.
RESPONSABLE DEL
PROCEDIMIENTO:
DISPARADOR: Aprobación del cambio
RECURSOS

Computador Coordinador del Cambio Herramienta BMC Remedy Presupuesto
Action Request System asignado
Especialista de la CGTIC ITIL V3 2011
Responsable de la Gestión COBIT 5

de Aseguramiento de la
Calidad
Director encargado del
cambio
Gestor del Cambio Notificación de aprobación del cambio
SALIDAS CLIENTES
Notificación de cierre de requerimiento Usuario del Negocio

Ecuador
MP-086 1.0 Página 19 de 22
9.2 Diagrama de flujo de procedimiento de implementación y cierre del cambio
MP-086 1.0 Página 20 de 22
9.3 Actividades de implementación y cierre del cambio

# RESPONSABLE TAREAS DOCUMENTOS
ASOCIADOS
Recibir la aprobación de cambio ya sea normal,
El Coordinador del estándar o emergente, y asigna tareas para desarrollo
1 del cambio con tiempos y responsables de acuerdo al
Cambio
requerimiento
Especialista de la Ejecutar las tareas de acuerdo a lo planificado en el

2
CGTIC sistema Remedy
Especialista de la Registrar en el sistema Remedy cada una de las tareas
3
CGTIC implementas satisfactoriamente
Revisa el sistema Remedy si todas las tareas han sido
registradas satisfactoriamente gestiona cada cambio
de acuerdo al tipo:
Si es un cambio normal: Generar la solicitud de
Coordinador de
4 creación de ambiente de pruebas de QA y pasa a la
cambio
tarea 5.
Si es un cambio estándar pasa a la tarea 14.
Si es un cambio emergente pasa a tarea 11.
Coordinador de
5 Solicita la creación el ambiente de pruebas.
cambio
Especialista de
Crea el ambiente de pruebas y notifica al Coordinador
6 infraestructura y
del Cambio
operaciones
Cambio Normal:
Coordinador de
7 Asigna la tarea de validación y verificación a la gestión
cambio
de aseguramiento de la calidad y
Realiza las pruebas al cambio.
Para Cambio Estándar y Normal se revisará que exista
Especialista de
8 la documentación conforme la plantilla del Anexo 4.
Calidad
Si las pruebas no son satisfactorias pasa a la tarea 9.
Si las pruebas son satisfactorias, pasa a la tarea 10
Prueba no satisfactoria:
Especialista de Registra la tarea como rechazada en el sistema
9
Calidad Remedy con las observaciones pertinentes y regresa a
la actividad 1.
Prueba satisfactoria:
Especialista de Registrar como satisfactorio en el sistema. Si es un
10
Calidad cambio emergente pasa a la actividad 14 caso
contrario realiza actividad 11.
Asignar la puesta en producción y esperar que la
Coordinador de
11 dirección de infraestructura ponga en producción el
cambio
cambio.
MP-086 1.0 Página 21 de 22
Especialista de
12 Infraestructura y Pone en ambiente productivo el cambio.
operaciones
Recibir la notificación de puesta en producción
Coordinador de
13 satisfactoria y modificar el estado del cambio ha
cambio
resuelto.
Coordinador de Cierra el incidente.
14
cambio
Una vez implementado el cambio en un transcurso
máximo de tres días se realiza un seguimiento
telefónico de la implementación
Coordinador de
15 Si existen observaciones regresa a la actividad 1.
cambio
Caso contrario verifica si es un cambio emergente
pasa a la actividad 16. Caso contrario el proceso se da
por finalizado.
Coordinador de
16 Solicita regularizar el cambio y pasa a las tarea 5.
cambio
Director encargado Cierra el MCS (el número de ticket) y continúa el
17
del cambio proceso desde la actividad 11.
10. INDICADORES DE GESTIÓN

Los indicadores de Gestión definidos para el proceso de Gestión de cambio son los siguientes:
N° Indicador Fórmula de Cálculo Unidad Fuente de la Frecuencia

Medida Medición de
Medición
1 Número de El número de cambios que % Número de Mensual
cambios se han implementado cambios
implementados exitosamente en relación a solicitados
exitosos en base a las solicitudes de cambios
los cambios realizadas.
solicitados
2 Porcentaje de Número de cambios de % Número de Mensual
cambios de emergencia sobre el total cambios de
emergencia de cambios solicitados emergencia
3 Número de SDC de Número de cambios de # de SDC Número de Semestral
emergencia no emergencia sobre el emergente cambios
regularizados una número de cambios no s emergentes
vez ejecutado el regularizados una vez aplicados en
cambio. ejecutado el cambio. producción
MP-086 1.0 Página 22 de 22
11. ANEXOS
Anexo 1 Requerimiento de Cambio
Anexo 2 Aprobación de Requerimiento de Cambio
Anexo 3 Lista de Verificación de Responsabilidades
Anexo 4 Plan de pruebas y aceptación de usuario
Anexo 5 Lista de Cambios Estándar
Anexo 1 Requerimiento de Cambio ................................................... ........................................ 22
Anexo 2 Aprobación de Requerimiento de Cambio ................................................... ................. 22
Anexo 3 Lista de Verificación de Responsabilidades ................................................... ............... 22
Anexo 4 Plan de pruebas y aceptación de usuario ................................................... .................. 22
Anexo 5 Lista de Cambios Estándar ................................................... ......................................... 22
ANEXO 1
REQUERIMIENTO DE CAMBIO
Incidente No.: [Número de Incidente que genera el cambio]
Cambio No.: [Número de Cambio asignado]
SECCIÓN A:
(Para registro de usuario del negocio con aval del Oficial de Seguridad o su
delegado)
1. SERVICIO
[Nombre del servicio tecnológico sobre el cual se realiza la solicitud de modificación, creación o
eliminación] APLICACIÓN – INFRAESTRUCTURA
2. JUSTIFICACIÓN DEL CAMBIO

[Se describe la razón por la cual es necesario implementar el cambio. El negocio debe evaluar
que el cambio solicitado sea realmente necesario, y que la forma de cambio sea la más adecuada.
Adicionalmente, se debe indicar los resultados esperados con la ejecución del cambio y los
beneficios para la Institución]
3. FECHA ESPERADA DEL CAMBIO

[Fecha en la que se espera sea cumplido el cambio]
4. RELACIÓN CON OTRAS APLICACIONES

[Se indicarán las relaciones que tienen con otras aplicaciones del cambio requerido]
5. ANÁLISIS DE RIESGO
[Se calificará a cada riesgo con el peso que corresponde]
Preguntas Respuestas Peso Selección
a. Internos y Externos 15
¿Tipos de Usuarios afectados? b. Externos 10
c. Internos 5
a. Si 5
¿Es Proceso crítico?
b. No 0
a. Más de 50 usuarios 15
¿Número de Usuarios
afectados? b. Entre 25 a 50 usuarios 10
c. Menos de 25 usuarios 5
a. Igual o mayor a 3 15
¿Número de Servicios b. 2 10
afectados? c. 1 5
d. 0 0
www.bce.ec @BancoCentral_Ec Banco Central del Ecuador

Dirección: Av. 10 de Agosto N11-409 y Briceño. Teléfono Matriz: 593-02-3938600. Casilla postal: 339
1 de 3
SECCIÓN B:
(Para registro de técnico responsable)
6. SOLUCIÓN A IMPLEMENTAR
[Se detalla al máximo detalle posible el cambio que se necesita.
Si se trata de inclusión o modificación al proceso de una aplicación, se debe adjuntar un diagrama
del proceso y listar las opciones en las cuales se deben realizar el cambio. En el caso de la
creación o modificación de Reportes, se debe colocar el nombre del reporte y los campos que se
quiere visualizar.
En caso de cambio en Infraestructura, se debe especificar los CI’s afectados.]
7. RELACIÓN CON OTRA INFRAESTRUCTURA

[Se indicarán las relaciones que tienen con otra infraestructura del cambio requerido]
8. CRONOGRAMA DE IMPLEMENTACIÓN
[Se elaborará el cronograma en el que se incluya la participación (hitos) más importantes de todos
los participantes que intervendrán en el cambio]
9. PROCESO DE ROLLBACK
[Se indicará el proceso en el caso de que exista algún inconveniente en la puesta a producción del
cambio y se requiera regresar a la versión inicial]
10. ANÁLISIS DE RIESGO TÉCNICO

[Se calificará a cada riesgo con el peso que corresponde]
Preguntas Respuestas Peso Selección
a. Personal Externo (Proveedor) e

¿Recurso Humano Interno de la CGTIC 10
involucrado en la ejecución b. Personal Interno de la CGTIC y
del cambio? Usuario Responsable 5
c. Personal Interno de la CGTIC 0
a. Más de 2 horas 20
¿Tiempo fuera de servicio b. Entre 1 y 2 horas 15
que se requiere para c. Menor a 1 hora 10
implementar el cambio?
d. Menos de 30 minutos 5
e. No necesita tiempo fuera de servicio 0
a. No es posible reversar 20
¿Dificultad para reversar el b. Mayor de 2 horas 15
cambio? c. Entre 1 -2 horas 10
d. Menor de 1 hora 5

2 de 3
Puntaje
Valoración de Responsable del activo de la Información
Valoración de Técnico
TOTAL
Puntaje Aprobación
Consejo Asesor de Cambios
Alto +
80 o más Oficial de Seguridad de la Información
Medio Mayor a 50 y Menor a 80 Consejo Asesor de Cambios
Bajo Menor o igual a 50 Consejo Asesor de Cambios
NOMBRE FIRMA
SECCIÓN A
Elaborado por:
Usuario final (Negocio)
Con aval de:

Oficial de Seguridad de la
Información o su delegado
SECCIÓN B
Elaborado por:
Técnico Responsable
REVISIÓN Y APROBACIÓN
Revisado por:
Aprobado por:
Responsable del Activo de
la Información

3 de 3
ANEXO 2
APROBACIÓN DE REQUERIMIENTO DE CAMBIO
Incidente No.: [Número de Incidente que genera el cambio]
Cambio No.: [Número de Cambio asignado]
SECCIÓN PARA REGISTRAR EN EL CONSEJO ASESOR DE CAMBIOS
1. APROBACIÓN DEL CAMBIO (MESA)

SI NO
Observaciones:
CARGO NOMBRE FIRMA OBSERVACIÓN

Aprobador del
Cambio (Negocio)
Director / Delegado
Desarrollo Informático
Director / Delegado
Aseguramiento de
Calidad y Seguridad
Informática
Director / Delegado
Infraestructura y
Operaciones
Director / Delegado
Soporte Informático
Director / Delegado
Gestor de Cambio

1 de 1
ANEXO 3
LISTA DE VERIFICACIÓN DE RESPONSABILIDADES
Responsabilidades
RESPONSABLE DEL  Solicita el cambio en la infraestructura o aplicación.
ACTIVO DE  Proveer la información requerida para evaluar y priorizar el cambio.
INFORMACIÓN  Brindar su ayuda en caso de ser necesario.
 Autorizar el cambio para su paso a producción.
COORDINADOR DEL  Iniciar la SDC, basado en la petición de otros procesos.
CAMBIO  Realizar la gestión y el seguimiento del progreso de las SDC.
 Evaluar las SDC que se originan a partir de incidentes.
 Determinar el riesgo e impacto de las SDC
 Preparar planes de implementación.
 Preparar planes y/o tareas de ejecución
 Presentar la SDC a la aprobación del Gestor de cambios.
 Asignar la implementación actual de las SDC y tareas relacionadas, a
los Especialistas que sean necesarios.
 Cierra el cambio que ya se encuentra en producción.
GESTOR DE CAMBIOS  Documentar la aprobación o rechazo de la SDC .
 Asegurar la calidad y la integridad del proceso de gestión del cambio.
 Determinar que la planificación de las implementaciones no entre en
conflicto con otros cambios o eventos programados.
ESPECIALISTA  Iniciar y registrar las SDC .
 Analizar las SDC (entre cambio normal o emergente) y relacionarla
con los elementos de configuración afectados
 Realizar las actividades planificadas necesarias para atender una
SDC.
 Dar atención a una tarea asignada.
CAB/ECAB  Decidir si el cambio normal o emergente es aprobado o rechazado
respectivamente
OFICIAL DE  Decidir si el cambio normal relacionado con actualizaciones a la base
SEGURIDAD de datos es aprobado o rechazado.
GESTOR DE  Transfiere las versiones entre los diferentes entornos:
VERSIONAMIENTO o De desarrollo hacia QA
o De QA hacia producción
USUARIO DE  Probar y aceptar formalmente que las SDC implementadas cumplen
NEGOCIO con lo solicitado.
ESPECIALISTA QA  Realizar las pruebas en ambiente de QA, previo al paso a producción.
ANEXO 4
PLAN DE PRUEBAS Y ACEPTACIÓN DE USUARIO

1 SERVICIO
[Nombre del servicio tecnológico sobre el cual se realiza la solicitud de modificación,
creación o eliminación] APLICACIÓN – INFRAESTRUCTURA
2 JUSTIFICACIÓN DEL CAMBIO

[Se describe la razón por la cual es necesario implementar el cambio. El negocio debe
evaluar que el cambio solicitado sea realmente necesario, y que la forma de cambio sea
la más adecuada.
Adicionalmente, se debe indicar los resultados esperados con la ejecución del cambio y
los beneficios para la Institución]
3 OBJETIVO
El objetivo de este documento es definir los elementos requeridos para verificar la
funcionalidad solicitada por el usuario que consiste en…
4 PERSONAS
A continuación tenemos los roles de las personas que intervienen en el plan de pruebas
ROL PERSONA
Responsable de CGTIC
Proveedor (Si aplica)
Usuario responsable
5 ESCENARIOS Y ALCANCE DE PRUEBAS

Las actividades a realizar en este plan de pruebas se realizarán de la siguiente manera:

6 EJECUCION DE LAS PRUEBAS
Plan de Pruebas
Precondiciones :
Sec Funcionalidad Actividad Resultado Esperado Aceptación

1
Observación:
Usuario responsable
Fecha:

ANEXO 5
LISTA DE CAMBIOS ESTÁNDAR
DIRECCIÓN DE DESARROLLO DE APLICACIONES

 En consultas y reportes que no alteren la base de datos cambios en logos, estilos,
tipos de letras, formato de fechas, cambios de títulos para aplicaciones cliente
servidor, web y BI.
 En consultas y reportes agregar campos o parámetros de selección siempre y
cuando no exista alteración a la base de datos y que no tenga impacto en el
rendimiento de la aplicación.
 Cambio de tipo de variable a nivel de aplicación, no de base de datos.
DIRECCIÓN DE INFRAESTRUCTURA Y OPERACIONES

 Mantenimientos preventivos lógicos que se realizan para recopilación de logs e
información que permiten el estado de la plataforma tecnológica.
 Permisos de acceso a servidores externos o internet, solo con el objetivo de
registrar o actualizar el sistema operativo de máquinas virtuales.
DIRECCIÓN DE ASEGURAMIENTO DE CALIDAD Y SEGURIDAD INFORMÁTICA

 Cambios en las políticas de navegación Web
 Cambios en las políticas de control antispam
 Cambio en la configuración de número de conexiones de acceso
 Registrar y modificar recursos protegidos en GetAccess
 Cambio en los casos de uso del SIEM
 Habilitación/deshabilitación de interfaces de IPS
 Registro y actualización de certificados digitales en plataforma Axway
DIRECCIÓN DE SOPORTE INFORMÁTICO

Switch de core (incluye eci y pde)
 Asignación de vlans y activación de servicios
 Activación de link agregation
Switch de acceso
 Difusión de vlans a nivel de puertos troncales
Switch de borde externo (incluye pde)

 Difusión de vlans a nivel de puertos troncales
Balanceadores geograficos (incluye eci y pde)

 Asignación de ips a snat de internet
 Creación, eliminación o modificación de políticas para publicación de servicios
 Cambio o asignación de puertos a vlan existente

Router wan
 Asignación de vlans y activación de servicios
 Activación de link agregation
Firewall (incluye eci, pde, cloud)

 Creación, modificación o eliminación de reglas
Dns - dhcp
 Creación, modificación o eliminación de registros dns
 Creación o modificación para opciones de segmentos de red (scope options)
 Creación o modificación para pool de direccionamiento (address pool)


Politica Control de Cambios

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politica Control de Cambios

Cargado por

Copyright:

Formatos disponibles

Septiembre

COORDINACOORDINACIÓN GENERAL DE TECNOLOGÍAS

© 2019. Dirección de Procesos Calidad e Innovación - Coordinación General de Planificación y

Todos los derechos reservados.

REVISIÓN Y APROBACIÓN ......................................................................................................... 3

Revisado y Validado por: Firma

Firmado digitalmente por REYNA

Firmado digitalmente por

Director Nacional de Riesgos

Firmado digitalmente por PAUL

Firmado digitalmente por

Firmado digitalmente por FABIAN

Firmado digitalmente por

Director de Procesos, Calidad

Firmado digitalmente por ANA

Aprobado por: Firma

Firmado digitalmente por JANETH

Recuerde: Este documento ha sido aprobado

CÓDIGO VERSIÓN PÁGINA

MP-086 1.0 Página 5 de 22

TÍTULO Manual de Procedimiento de Cambios

El presente documento tendrá vigencia a partir de la fecha de su

Subgerente General, mediante Resolución Administrativa No. BCE-093-

Responsabilidad Director Nacional de Riesgos de Operaciones

El presente documento normativo será revisado y actualizado por las áreas

El presente documento normativo será distribuido por la Dirección de

CÓDIGO VERSIÓN PÁGINA

MP-086 1.0 Página 6 de 22

La Gestión de Cambios se requiere para asegurar que los cambios de TIC:

 Artículo 3, 4, 5 y 11 del Código Orgánico Administrativo

- 410-04 Políticas y procedimientos

La Unidad de Tecnología de Información definirá, documentará y difundirá las

CÓDIGO VERSIÓN PÁGINA

MP-086 1.0 Página 7 de 22

Temas como la calidad, seguridad, confidencialidad, controles internos,

Será necesario establecer procedimientos de comunicación, difusión y

Se incorporarán controles, sistemas de aseguramiento de la calidad y de gestión

Se implantarán procedimientos de supervisión de las funciones de tecnología de

 La Unidad de Tecnología de Información deberá promover y establecer convenios con

- Literal 5.2.3.1 De la responsabilidad del Oficial de Seguridad de la Información:

- Literal 5.2.3.2 De la responsabilidad del Oficial de Seguridad de la Información:

- Literal 5.6.2.2 De la Administración de Cambios: Se deberá implementar una

- Literal 5.6.2.3 De la Administración de Cambios: Identificar claramente los

- Literal 5.6.2.4 De la Administración de Cambios: Se deberán manejar los cambios

CÓDIGO VERSIÓN PÁGINA

MP-086 1.0 Página 8 de 22

políticas, procedimientos y controles de seguridad de la información existentes

Acuerdo de Nivel Operacional (OLA): Acuerdo de Operación / Nivel Operativo es un acuerdo

Comité Asesor de Cambios (CAB): se encarga de autorizar, ajustar o rechazar la solicitud de

Comité Asesor de Cambios de Emergencia (ECAB): se encarga de autorizar, ajustar o rechazar

CÓDIGO VERSIÓN PÁGINA

MP-086 1.0 Página 9 de 22

Coordinador de Cambios: es el responsable de la gestión del cambio (asignación de las tareas

Especialistas de QA: aseguran el cumplimento de la calidad de los productos, documentación,

Gestor de Cambios: Es el responsable convocar al Comité Asesor de Cambios y el registro de la

MCS: Módulo de Control de Sistemas del Banco Central del Ecuador

Prioridad: es el resultado de la evaluación del impacto y la urgencia de los cambios.

Responsable del Activo de la Información: es la persona encargada de cuidar la integridad,

Solicitud de Cambio (SDC): es un requerimiento formal de cambio en espera de ser

Solicitud de Cambio Emergente: es un requerimiento formal autorizado por el ECAB, tiene

CÓDIGO VERSIÓN PÁGINA

MP-086 1.0 Página 10 de 22

 Banco Central del Ecuador (Planta Central)