👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.12.1.1, A.12.1.2, A.14.2.2, A.14.2.3, A.14.2.8 y A.14.2.9
ISO 27001 en su versión 2022: A.5.37, A.8.29, A.8.32
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayuda a definir las tareas necesarias para la ejecución correcta de los cambios aplicados en los sistemas y plataformas desarrollados por la empresa.
💡 Un procedimiento ineficiente de gestión de cambios productivos puede llevar a ocasionar incidentes de seguridad, una mala experiencia de usuario, fallas en el sistema, entre otras cosas que ponen en riesgo tus operaciones, y es por ello que resulta muy importante definirlo correctamente.
¿Qué tengo que hacer? 🚀
A alto nivel, las tareas más importantes a considerar dentro de este procedimiento son las siguientes:
La solicitud del cambio.
Evaluación de la solicitud.
Ejecución o desarrollo de los cambios.
Aplicación de pruebas.
Autorización de los cambios.
Paso a producción.
Comunicación y registro de las acciones realizadas.
Para solicitar un cambio se recomienda definir un canal de comunicación o herramienta adecuada donde se pueda dar detalle y justificación de la solicitud.
Al momento de la evaluación es importante analizar y comprender el objetivo que busca cumplir el cambio solicitado, ya que puede ser para solucionar fallas, corregir bugs, crear una nueva funcionalidad, automatizar algún proceso, mejorar la experiencia de usuario, etcétera, por lo que el responsable de esta evaluación debe tener súper claro su finalidad.
Además, en esta evaluación se debe verificar con el equipo de Tecnología y Desarrollo, si el cambio es factible o no, y de no serlo, deberás descartarlo al menos por tiempo indefinido y notificar al solicitante.
💡 Dentro de nuestro template no incluimos un método de priorización ya que estos suelen ser muy particulares respecto a las operaciones y necesidades de cada empresa, pero es muy recomendable determinar y documentar cómo decides qué se desarrolla primero.
En caso de que los cambios solicitados sí sean factibles, se desarrollan de acuerdo a su priorización considerando el diseño, el código, los responsables involucrados y el tiempo estimado para su liberación.
Una vez que los cambios ya estén desarrollados, se pasan a un entorno de “testing” donde se le deben aplicar todas las pruebas pertinentes para asegurar que cumple con el funcionamiento esperado, y que cubre los requerimientos de seguridad. Generalmente estas pruebas las realiza un analista QA (Quality Assurance).
Es muy importante que definas qué se debe hacer y quién es el responsable en caso de presentar fallas o errores durante las pruebas, para que se puedan aplicar acciones correctivas lo antes posible.
💡 En ocasiones puede ser necesario que una persona adicional al QA o al responsable de las pruebas haga otra validación para autorizar el paso a producción, como por ejemplo el CTO, por lo que si este es el caso de tu empresa, deberás documentar cómo se realiza esta autorización dentro del procedimiento.
Si el responsable de las pruebas indica que todo está bien, significa que el desarrollo ya puede ser pasado a un entorno productivo. Este paso a producción debe ser coordinado y planificado con anticipación para que tenga el menor impacto posible en tus operaciones, por lo que recomendamos seleccionar días y horarios específicos donde consideres que no habrá interrupciones en tu servicio.
Después del paso a producción también será muy importante que definas qué se debe hacer y quién es el responsable en caso de presentar fallas o errores para implementar un proceso de rollback eficiente y con el menor impacto posible en tus operaciones.
Y por último, debes comunicar a todos los interesados y stakeholders involucrados sobre las acciones realizadas, y para esto te recomendamos utilizar un medio de comunicación formal dentro de la empresa.
Además, debes dejar registro de los cambios realizados y toda la información relevante a esto en alguna herramienta, sistema o documento donde lleven el seguimiento de las actividades del área de Desarrollo.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Implementa un programa de capacitación adecuado para asegurar que todo tu equipo conozca las mejores prácticas de desarrollo seguro sugeridas por la industria.
Recuerda que este procedimiento debe cumplir los lineamientos establecidos en tu política de desarrollo seguro y estar alineado a tu metodología de ciclo de vida de desarrollo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.