Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual de Procedimiento de
Gestión de Cambios (TI) 2019
Este documento contiene la primera versión del Procedimiento
Gestión de Cambios para el Banco Central del Ecuador. Versión 1.0
CÓDI
ÓDIGO VERSIÓN PÁG
PÁGINA
MP
P-086 1.0 Página
ina 3 de 23
REVISIÓN Y APROBACIÓN
INFORMACIÓN GENERAL
Carla Pasquel
Autores: Dirección de Asesoramiento de la Calidad
Responsabilidad
Dirección Nacional de Auditoría Interna Bancaria y/o Gubernamental, en el
de la evaluación
ámbito de su competencia.
de control
interno:
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
1. OBJETIVO
El objetivo primordial de la Gestión de Cambios es que se realicen e implementen
adecuadamente todos los cambios necesarios en la infraestructura y servicios de Tecnologías
de la Información y Comunicación (TIC), con el fin de minimizar el impacto de incidentes
eventuales. Los cambios en la infraestructura de TIC pueden surgir de forma reactiva en
respuesta a problemas o necesidades impuestas desde el exterior, por ejemplo, los cambios
legislativos. Por otro lado, puede ser una actividad proactiva para lograr una mayor eficiencia
y eficacia en la organización. Las principales razones para la realización de cambios de TI son:
Solución de errores conocidos.
Desarrollo de nuevos servicios.
Mantenimiento de aplicaciones
Mejora de los servicios existentes (hardware y software)
Mejoras técnicas de las aplicaciones existentes
Requerimientos legales.
2. BASE NORMATIVA
Artículo 226, 227 y 303 de la Constitución de la República.
Normas de Control Interno para las Entidades, Organismos del Sector Público y
Personas Jurídicas de Derecho Privado que Dispongan de Recursos Públicos, , 410
Tecnología de la Información, publicada en el Registro Oficial Suplemento No. 87 de 14
de diciembre de 2009.
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
3. GLOSARIO
Acuerdos de nivel de servicio (SLA): especifican compromisos que son niveles de servicio
acordados entre el proveedor de servicios y el cliente.
BMC Remedy Action Request System: Herramienta para el registro de incidentes y cambios
relacionados a servicios de la Coordinación General de Tecnologías de la Información y
Comunicación.
Cambio Estándar: son cambios ya establecidos, pre-autorizados, los tipos de cambios estándar
se detallan en el Anexo 5: Lista de Cambios Estándar:
- Pre Condiciones:
El sistema a realizar el cambio estándar no debe registrar temas pendientes por
regularizar (cambios emergentes, defectos bloqueantes y críticos a nivel funcional).
Para la decisión tendrán voz y voto el Gestor de Cambios, el Responsable del Activo de
Información o su delegado y los Directores de la CGTIC o sus delegados y Oficial de Seguridad
de la Información.
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Impacto: son las consecuencias de las derivaciones que puede ocasionar a la organización la
materialización del riesgo.
Ítem de Configuración (CI): son elementos de configuración que hacen parte de una
agrupación; componentes de una infraestructura que están o estarán bajo manejo de
configuración. Un CI puede ser un simple módulo, como un monitor o elementos más
complejos, como un sistema completo.
Requerimientos: son nuevas solicitudes que generan los usuarios sobre el servicio brindado.
Usuario: persona que utiliza el servicio o genera los requerimientos dentro del proceso de
Gestión de Cambios.
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Urgencia: medida de la criticidad para el negocio de un cambio basada en el impacto sobre las
necesidades de negocios del Cliente.
4. ÁMBITO DE APLICACIÓN
Política Descripción
Cualquier modificación y/o creación de servicios tecnológicos o elementos de
configuración (CI), debe seguir de forma obligatoria el Procedimiento de Gestión
001
de Cambios. No se implementarán cambios si no se ha regularizado previamente,
sean cambios emergentes o estándar del CI.
Los proveedores externos sólo podrán proponer una Solicitud de Cambio a través
002
de los Especialistas de la Institución, quienes seguirán este proceso.
003 El análisis de riesgo e impacto, es obligatorio para la Gestión de Cambios.
Todo cambio debe iniciar a través de un SDC y seguir las actividades del proceso.
Debe ser categorizado como: cambio normal, cambio estándar o cambio
004
emergente, los cuales deben pasar por el conocimiento y autorización de los
miembros del CAB y del ECAB respectivamente.
005 Las órdenes de trabajo o tareas deberán estar enlazadas a un SDC.
Todo cambio emergente debe tener como entrada un incidente asociado como
006
crítico y de solución inmediata.
Todo cambio emergente será regularizado en un plazo máximo de tres días
007
hábiles de implementado el cambio en el ambiente de producción.
La revisión de las métricas deberá ser trimestral y estará a cargo del Coordinador
008
de Cambios e informado al Gestor de Cambios.
Los cambios que sean rechazados o pendientes, deberán tener el estado
009
correspondiente y el motivo por el que se toma la decisión.
Los cambios deberán tener un tiempo estimado de trabajo asociado y notificado
010
a la Mesa de Ayuda si se afecta un servicio.
Los cambios estándares son cambios ya establecidos, pre-autorizados por la
Organización. Los cambios estándares no ingresarán a ser revisados por el CAB,
011
sino que irán directamente a la Implementación del mismo. El responsable de
calificar el cambio como estándar será el Coordinador del Cambio.
Las SDC cuyo fin es el de introducir de forma inmediata las mejoras que impactan
013 al negocio se gestionan implementando el presente procedimiento.
El Consejo Asesor de Cambios (CAB) es convocado de acuerdo al tipo de cambio
014
del presente procedimiento.
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
3 Usuario de Negocio
Responsable del activo de
la Información
Comité de cambios (CAB)
Responsable del activo de
la información
Director encargado del
cambio
Responsable de la Gestión
de Aseguramiento de la
Calidad
Comité de cambios de
Emergencia (ECAB)
PROVEEDORES ENTRADAS
CGTIC Solicitud de cambio
SALIDAS CLIENTES
Notificación de cierre de incidente Usuario del aplicativo o del negocio
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
SALIDAS CLIENTES
Notificación de cierre de requerimiento Usuario del Negocio
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Coordinador de
5 Solicita la creación el ambiente de pruebas.
cambio
Especialista de
Crea el ambiente de pruebas y notifica al Coordinador
6 infraestructura y
del Cambio
operaciones
Cambio Normal:
Coordinador de
7 Asigna la tarea de validación y verificación a la gestión
cambio
de aseguramiento de la calidad y
Realiza las pruebas al cambio.
Para Cambio Estándar y Normal se revisará que exista
Especialista de
8 la documentación conforme la plantilla del Anexo 4.
Calidad
Si las pruebas no son satisfactorias pasa a la tarea 9.
Si las pruebas son satisfactorias, pasa a la tarea 10
Prueba no satisfactoria:
Especialista de Registra la tarea como rechazada en el sistema
9
Calidad Remedy con las observaciones pertinentes y regresa a
la actividad 1.
Prueba satisfactoria:
Especialista de Registrar como satisfactorio en el sistema. Si es un
10
Calidad cambio emergente pasa a la actividad 14 caso
contrario realiza actividad 11.
Asignar la puesta en producción y esperar que la
Coordinador de
11 dirección de infraestructura ponga en producción el
cambio
cambio.
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
Especialista de
12 Infraestructura y Pone en ambiente productivo el cambio.
operaciones
Recibir la notificación de puesta en producción
Coordinador de
13 satisfactoria y modificar el estado del cambio ha
cambio
resuelto.
Coordinador de Cierra el incidente.
14
cambio
Una vez implementado el cambio en un transcurso
máximo de tres días se realiza un seguimiento
telefónico de la implementación
Coordinador de
15 Si existen observaciones regresa a la actividad 1.
cambio
Caso contrario verifica si es un cambio emergente
pasa a la actividad 16. Caso contrario el proceso se da
por finalizado.
Coordinador de
16 Solicita regularizar el cambio y pasa a las tarea 5.
cambio
Director encargado Cierra el MCS (el número de ticket) y continúa el
17
del cambio proceso desde la actividad 11.
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
MANUAL DE PROCEDIMIENTO DE CAMBIOS
11. ANEXOS
Anexo 1 Requerimiento de Cambio
Anexo 2 Aprobación de Requerimiento de Cambio
Anexo 3 Lista de Verificación de Responsabilidades
Anexo 4 Plan de pruebas y aceptación de usuario
Anexo 5 Lista de Cambios Estándar
Anexo 1 Requerimiento de Cambio ................................................... ........................................ 22
Anexo 2 Aprobación de Requerimiento de Cambio ................................................... ................. 22
Anexo 3 Lista de Verificación de Responsabilidades ................................................... ............... 22
Anexo 4 Plan de pruebas y aceptación de usuario ................................................... .................. 22
Anexo 5 Lista de Cambios Estándar ................................................... ......................................... 22
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
ANEXO 1
REQUERIMIENTO DE CAMBIO
Incidente No.: [Número de Incidente que genera el cambio]
Cambio No.: [Número de Cambio asignado]
SECCIÓN A:
(Para registro de usuario del negocio con aval del Oficial de Seguridad o su
delegado)
1. SERVICIO
[Nombre del servicio tecnológico sobre el cual se realiza la solicitud de modificación, creación o
eliminación] APLICACIÓN – INFRAESTRUCTURA
Adicionalmente, se debe indicar los resultados esperados con la ejecución del cambio y los
beneficios para la Institución]
5. ANÁLISIS DE RIESGO
[Se calificará a cada riesgo con el peso que corresponde]
Preguntas Respuestas Peso Selección
a. Internos y Externos 15
¿Tipos de Usuarios afectados? b. Externos 10
c. Internos 5
a. Si 5
¿Es Proceso crítico?
b. No 0
a. Más de 50 usuarios 15
¿Número de Usuarios
afectados? b. Entre 25 a 50 usuarios 10
c. Menos de 25 usuarios 5
a. Igual o mayor a 3 15
¿Número de Servicios b. 2 10
afectados? c. 1 5
d. 0 0
1 de 3
SECCIÓN B:
(Para registro de técnico responsable)
6. SOLUCIÓN A IMPLEMENTAR
[Se detalla al máximo detalle posible el cambio que se necesita.
Si se trata de inclusión o modificación al proceso de una aplicación, se debe adjuntar un diagrama
del proceso y listar las opciones en las cuales se deben realizar el cambio. En el caso de la
creación o modificación de Reportes, se debe colocar el nombre del reporte y los campos que se
quiere visualizar.
En caso de cambio en Infraestructura, se debe especificar los CI’s afectados.]
8. CRONOGRAMA DE IMPLEMENTACIÓN
[Se elaborará el cronograma en el que se incluya la participación (hitos) más importantes de todos
los participantes que intervendrán en el cambio]
9. PROCESO DE ROLLBACK
[Se indicará el proceso en el caso de que exista algún inconveniente en la puesta a producción del
cambio y se requiera regresar a la versión inicial]
2 de 3
Puntaje
Valoración de Responsable del activo de la Información
Valoración de Técnico
TOTAL
Puntaje Aprobación
Consejo Asesor de Cambios
Alto +
80 o más Oficial de Seguridad de la Información
Medio Mayor a 50 y Menor a 80 Consejo Asesor de Cambios
Bajo Menor o igual a 50 Consejo Asesor de Cambios
NOMBRE FIRMA
SECCIÓN A
Elaborado por:
Usuario final (Negocio)
REVISIÓN Y APROBACIÓN
Revisado por:
Coordinador del Cambio
Aprobado por:
Responsable del Activo de
la Información
3 de 3
ANEXO 2
APROBACIÓN DE REQUERIMIENTO DE CAMBIO
Incidente No.: [Número de Incidente que genera el cambio]
Cambio No.: [Número de Cambio asignado]
Observaciones:
1 de 1
ANEXO 3
LISTA DE VERIFICACIÓN DE RESPONSABILIDADES
Responsabilidades
RESPONSABLE DEL Solicita el cambio en la infraestructura o aplicación.
ACTIVO DE Proveer la información requerida para evaluar y priorizar el cambio.
INFORMACIÓN Brindar su ayuda en caso de ser necesario.
Autorizar el cambio para su paso a producción.
COORDINADOR DEL Iniciar la SDC, basado en la petición de otros procesos.
CAMBIO Realizar la gestión y el seguimiento del progreso de las SDC.
Evaluar las SDC que se originan a partir de incidentes.
Determinar el riesgo e impacto de las SDC
Preparar planes de implementación.
Preparar planes y/o tareas de ejecución
Presentar la SDC a la aprobación del Gestor de cambios.
Asignar la implementación actual de las SDC y tareas relacionadas, a
los Especialistas que sean necesarios.
Cierra el cambio que ya se encuentra en producción.
GESTOR DE CAMBIOS Documentar la aprobación o rechazo de la SDC .
Asegurar la calidad y la integridad del proceso de gestión del cambio.
Determinar que la planificación de las implementaciones no entre en
conflicto con otros cambios o eventos programados.
ESPECIALISTA Iniciar y registrar las SDC .
Analizar las SDC (entre cambio normal o emergente) y relacionarla
con los elementos de configuración afectados
Realizar las actividades planificadas necesarias para atender una
SDC.
Dar atención a una tarea asignada.
CAB/ECAB Decidir si el cambio normal o emergente es aprobado o rechazado
respectivamente
OFICIAL DE Decidir si el cambio normal relacionado con actualizaciones a la base
SEGURIDAD de datos es aprobado o rechazado.
GESTOR DE Transfiere las versiones entre los diferentes entornos:
VERSIONAMIENTO o De desarrollo hacia QA
o De QA hacia producción
USUARIO DE Probar y aceptar formalmente que las SDC implementadas cumplen
NEGOCIO con lo solicitado.
ESPECIALISTA QA Realizar las pruebas en ambiente de QA, previo al paso a producción.
ANEXO 4
Adicionalmente, se debe indicar los resultados esperados con la ejecución del cambio y
los beneficios para la Institución]
3 OBJETIVO
El objetivo de este documento es definir los elementos requeridos para verificar la
funcionalidad solicitada por el usuario que consiste en…
4 PERSONAS
A continuación tenemos los roles de las personas que intervienen en el plan de pruebas
ROL PERSONA
Responsable de CGTIC
Proveedor (Si aplica)
Usuario responsable
Plan de Pruebas
Precondiciones :
Observación:
Usuario responsable
Fecha:
Switch de acceso
Difusión de vlans a nivel de puertos troncales
Dns - dhcp
Creación, modificación o eliminación de registros dns
Creación o modificación para opciones de segmentos de red (scope options)
Creación o modificación para pool de direccionamiento (address pool)