🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →
DivisionCero

Política de Gestión de Cambios y Configuración

Control de cambios en sistemas y configuraciones de TI

Política de Gestión de Cambios y Configuración

Propósito

Establecer un marco claro para gestionar cambios y configuraciones en infraestructura y aplicaciones, asegurando planificación, autorización, pruebas y documentación adecuadas.

Objetivos

  • Registrar, revisar y ejecutar cambios de manera consistente.
  • Minimizar riesgos a operaciones y clientes.
  • Mantener un rastro de auditoría completo.
  • Establecer y aplicar plantillas estándar para configuraciones seguras.
  • Registrar y controlar todas las configuraciones.

Alcance

Aplica a todos los cambios en infraestructura (Linux, AWS, bases de datos, etc.) y configuraciones de aplicaciones (cuentas, roles, autenticación, etc.), así como a la gestión de configuraciones de hardware, software, servicios y redes. Incluye a todos los colaboradores y contratistas.

Definiciones

  • Cambio: Agregar, modificar o eliminar cualquier Elemento de Configuración (CI).
  • Entregable: Salida de un proceso con valor para un cliente o parte interesada.

Responsabilidades

  • Analista de Cambios: Coordina el cambio de inicio a cierre, asegurando cumplimiento de requisitos.
  • Gerente de Cambios: Supervisa la ejecución diaria del proceso, gestiona cambios críticos y asegura la integridad del proceso.

Proceso de Gestión de Cambios

  1. Registrar: Crear un registro de cambio usando el formulario oficial.
  2. Revisar y Aprobar: Validación por seguridad o gerencia.
  3. Clasificar:
    • Menor: Cambios rutinarios.
    • Mayor: Impacto en datos de clientes o instalaciones.
    • Emergencia: Cambio urgente fuera del proceso estándar, documentado retrospectivamente.
  4. Evaluar Riesgo: Analizar impacto y riesgos asociados.
  5. Implementar: Ejecutar según plan de mitigación.
  6. Verificar y Comunicar: Confirmar efectividad y notificar a partes interesadas.
  7. Monitorear y Revisar: Revisión post-implementación para validar resultados y documentar lecciones.

Gestión de Configuración

  • Mantener plantillas de configuración seguras y actualizarlas regularmente.
  • Minimizar accesos privilegiados y deshabilitar servicios innecesarios.
  • Mantener registros de configuración con dueño, fecha y versión.

Impacto en Continuidad del Negocio

  • Cambios pueden causar interrupciones temporales y resistencia del personal.
  • Problemas de comunicación o asignación de recursos pueden afectar productividad.
  • Identificar y gestionar problemas imprevistos para mantener continuidad.

Recursos para Implementar Cambios

  • Financieros: Presupuesto adecuado y evaluación de ROI.
  • Humanos: Conjunto de habilidades necesarias y disponibilidad de personal.
  • Tecnológicos: Infraestructura compatible y actualización de sistemas si es necesario.

Impacto en Roles y BCMS

  • Cambios pueden afectar equipos de emergencia, comunicación de crisis y propietarios de planes.
  • Personal de TI puede requerir actualización de roles según sistemas y procesos nuevos.

Monitoreo y Revisión

  • Supervisión continua por gerencia y seguridad de la información.
  • Configuraciones verificadas con herramientas automatizadas y corrección de desviaciones.
  • Revisión periódica de prácticas de gestión de cambios y configuración para mantener efectividad y alineación con amenazas y necesidades organizacionales.

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

Procedimiento y Plan de Comunicación

Estrategia de comunicación para incidentes y crisis

Política de Gestión de Incidentes

Detección, respuesta y gestión de incidentes de seguridad