👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 9 y 11 del Marco COSO, Tambien los criterios CC8.1 y CC7.1.
TSC: Integridad del Procesamiento: PI1.1.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayuda a definir las tareas necesarias para la ejecución controlada de los cambios aplicados en tus sistemas y plataformas.
💡 Un procedimiento ineficiente de gestión de cambios puede ocasionar incidentes de seguridad, fallas en el sistema que comprometan la integridad de los datos procesados, o una mala experiencia de usuario. Definirlo correctamente es crucial para demostrar un entorno controlado, como lo exige SOC 2.
¿Qué tengo que hacer? 🚀
Las tareas más importantes a considerar dentro de este procedimiento son: la solicitud del cambio, su evaluación, el desarrollo, las pruebas, la autorización, el paso a producción y la comunicación.
Solicitud y evaluación del cambio
Se debe definir un canal formal para solicitar un cambio, detallando su justificación. Durante la evaluación (Principio 9 de COSO), es vital analizar:
El objetivo del cambio: Si es para corregir un error, añadir una funcionalidad, etc.
La factibilidad técnica: Si es posible realizarlo con los recursos actuales.
El impacto en la integridad del procesamiento: Cómo el cambio podría afectar la exactitud, completitud y validez de los datos que el sistema procesa.
Desarrollo y aplicación de pruebas
Una vez aprobado, el cambio se desarrolla en un entorno de pruebas, nunca en producción. Antes de seguir adelante, se deben aplicar pruebas rigurosas.
El objetivo de las pruebas es asegurar que el cambio:
Cumple con el funcionamiento esperado.
Satisface los requisitos de seguridad.
No introduce errores que afecten la integridad de los datos.
Autorización y paso a producción
Una vez que las pruebas son exitosas, se requiere una autorización formal para el despliegue (a menudo por parte de un rol como el CTO). El paso a producción debe ser planificado para minimizar el impacto en las operaciones y debe incluir un plan de "rollback" para poder revertir el cambio rápidamente si algo sale mal.
Comunicación y registro
Finalmente, debes comunicar la implementación del cambio a todos los interesados y mantener un registro de todo el proceso (solicitud, pruebas, autorización, despliegue) en una herramienta de seguimiento.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Implementa un “Programa de Capacitación” adecuado para asegurar que tu equipo conozca las mejores prácticas de Desarrollo Seguro.
Recuerda que este procedimiento debe cumplir los lineamientos establecidos en tu “Política de Desarrollo Seguro” y estar alineado a tu “Metodología de Ciclo de Vida de Desarrollo”.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.