👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 1.1.1, 6.4.5
PCI DSS v4.0: 1.1.1, 1.2.2, 6.1.1, 6.5.1, 6.5.2
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer y documentar un procedimiento que te permita gestionar adecuadamente los cambios a los sistemas o plataformas desarrollados por la empresa, así como también a los cambios en las conexiones de red y en las configuraciones de los controles de seguridad de la red (NSC), considerando desde su solicitud hasta su aplicación.
💡 Cualquier tipo de cambio debe ser aprobado y monitoreado, ya que recuerda que sin un procedimiento eficiente, y sin la aprobación y las pruebas formales llevadas a cabo por responsables capacitados, cualquier cambio mal gestionado podría ocasionar un incidente de seguridad, una mala experiencia de usuario, fallas en tus sistemas, interrupciones, u otro tipo de evento que ponga en riesgo tus operaciones.
¿Qué tengo que hacer? 🚀
Para crear este documento debes analizar y documentar todos los pasos a seguir para lograr una adecuada gestión de los cambios dentro de la empresa. A alto nivel, las tareas más importantes a considerar dentro de este procedimiento son las siguientes:
La solicitud del cambio.
Evaluación de la solicitud.
Ejecución o desarrollo de los cambios.
Aplicación de pruebas.
Autorización de los cambios.
Paso a producción.
Comunicación y registro de las acciones realizadas.
A continuación te explicamos cada uno de ellas:
Define cómo se debe realizar la solicitud formal de un cambio, indicando los medios de comunicación o herramientas apropiadas para hacerlo, la información requerida para analizar el requerimiento, la gestión para cada tipo de cambio, los sistemas, procesos y/o servicios impactados, etcétera.
Considera que todos los colaboradores a los que se les permita solicitar cambios, deberán tener acceso al medio de comunicación o herramienta que definas.
Establece un criterio de evaluación para las solicitudes y el responsable a cargo de esto, con el objetivo de validar si el cambio es factible o no.
Para esto puedes considerar aspectos como la necesidad de aplicación del cambio, si es urgente, su nivel de impacto en las operaciones, las pruebas que requiere, la disponibilidad de las personas que pueden ejecutarlo, etcétera.
Si el cambio requiere un desarrollo de software o de código, debes analizar todos los recursos necesarios para llevarlo a cabo para asegurar que se encuentren disponibles, y el tiempo estimado a invertir.
Si el cambio no es factible, deberá descartarse, al menos por tiempo indefinido y deberás notificar al solicitante.
💡 En este paso, te recomendamos asegurar que puedas evaluar y definir por lo menos los siguientes aspectos para cada solicitud:
El motivo y la descripción del cambio son claros y concisos.
El impacto a la seguridad está identificado y documentado.
Existe una aprobación documentada del cambio por las partes pertinentes.
Las pruebas necesarias para verificar que el cambio no afecta negativamente la seguridad del sistema están definidas.
Se cuenta con procedimientos para hacer frente a los fallos y volver a un estado seguro.
Algunos de estos puntos son explicados más a detalle a lo largo de este artículo, ¡así que continúa leyendo para comprender cómo puedes lograrlos! 🤓
Define cómo vas a priorizar los cambios solicitados, es decir cómo vas a decidir qué debes desarrollar o realizar primero, tomando en cuenta el impacto que tienen, la urgencia, la necesidad, y sobre todo, los aspectos de seguridad que se deben contemplar para ejecutar el cambio.
Define la planificación que se debe seguir para ejecutar el cambio. Una vez que se valida que el cambio es factible y prioritario, debes considerar todas las actividades previas a su ejecución formal, como por ejemplo el diseño del cambio (sobre todo si es desarrollo de software), la aplicación de pruebas, la autorización de los responsables involucrados, etcétera.
Establece cuáles serán las pruebas necesarias, y quién será el responsable de aplicarlas. Las pruebas deben poder verificar y garantizar que el cambio desarrollado cumple con su objetivo, que funciona según lo esperado y que cubre los requerimientos de seguridad de PCI DSS.
Define cómo debe autorizarse la ejecución del cambio, y quién es el responsable de hacerlo. En algunos casos, sobre todo en equipos pequeños, estos pasos se realizan al mismo tiempo y/o por una misma persona, es decir que alguien desarrolla el cambio, lo prueba y si todo sale bien, lo ejecuta directamente en un entorno productivo, pero esto no es una buena práctica. Recomendamos que siempre exista un “autorizador”, que no sea la misma persona que desarrolló o que implementó las pruebas, para que dé el visto bueno de las acciones realizadas.
Al completar un cambio significativo, se debe confirmar que todos los requisitos de PCI DSS están vigentes en todos los sistemas y/o redes nuevas o modificadas, y que la documentación se actualiza según corresponda.
Indica cómo debe hacerse la ejecución del cambio, asignando a los responsables involucrados y el horario más adecuado en el que debe realizarse para no afectar las operaciones del negocio.
Establece un plan de rollback o “vuelta atrás” y quién debe aplicarlo, para que siempre estés preparado en caso de que se presenten fallas o eventos inesperados durante o después de la ejecución del cambio.
Establece cómo vas a realizar la comunicación, definiendo un medio de comunicación formal por el cual se va a notificar a los colaboradores y/o usuarios interesados en el cambio aplicado, ya sean internos o externos. Así como también cómo vas a registrar toda la información relevante, definiendo la herramienta adecuada donde llevarás la trazabilidad de estos cambios y las acciones realizadas.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Recuerda que la aplicación de pruebas y la autorización por un responsable capacitado son muy importantes para mantener la seguridad en tus desarrollos y aplicación de cambios.
Asegúrate que este procedimiento esté siempre alineado a las operaciones reales, es decir que refleje lo que realmente realizan dentro de la empresa para la gestión de cambios.
Implementa un programa de capacitación adecuado para asegurar que todo tu equipo conozca las mejores prácticas sugeridas por la industria, y que tome la capacitación de desarrollo seguro de Hackmetrix.
Recuerda que este procedimiento debe cumplir los lineamientos establecidos en tu política de desarrollo seguro y estar alineado a tu metodología de ciclo de vida de desarrollo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.