Política de Control de Cambios

Organización: TTPSEC SPA
Versión: 1.0
Fecha de Aprobación: 1 de junio de 2025
Aprobado por: Gerencia General

1. Propósito

Establecer directrices para planificar, evaluar, aprobar, implementar y registrar cambios que puedan afectar la seguridad de la información, garantizando la continuidad operativa, la trazabilidad y el control de los riesgos asociados.

2. Alcance

Aplica a todos los cambios realizados sobre:

• Infraestructura tecnológica (servidores, redes, estaciones de trabajo)

• Software (actualizaciones, nuevas versiones, cambios de configuración)

• Procesos del SGSI (políticas, procedimientos, controles)

• Sistemas de gestión y plataformas cloud utilizadas en la operación y consultoría de TTPSEC SPA

• Servicios entregados a clientes

Incluye cambios planificados y de emergencia.

3. Principios Rectores

• Todo cambio debe estar justificado, evaluado y aprobado antes de su implementación.

• Los cambios deben incluir una evaluación de impacto en la seguridad de la información.

• Se debe garantizar la reversibilidad del cambio cuando sea aplicable.

• Se mantendrá un registro trazable de todos los cambios.

• Los cambios de emergencia deben ser documentados a posteriori y aprobados en revisión.

4. Tipos de Cambios

• Normal: Planificado, aprobado formalmente, probado previamente.

• Urgente/Emergencia: Implementado para responder a incidentes o fallas críticas, documentado y evaluado posterior a la ejecución.
  
  

5. Ciclo de Gestión de Cambios

1. Solicitud del Cambio

   • Cualquier miembro autorizado puede solicitar un cambio.

   • Debe completarse el formulario de solicitud de cambio con detalles de impacto, responsables y riesgos.
     
     

2. Evaluación

   • Análisis de impacto en la seguridad, continuidad y cumplimiento.

   • Análisis de riesgos adicionales introducidos por el cambio.
     
     

3. Aprobación
   
   

   • El Comité de Cambios (Líder de Seguridad, Arquitecto y Gerente General) evaluará los cambios mayores.

   • Cambios menores podrán ser aprobados por el área responsable técnica.
     
     

4. Implementación

   • El cambio se ejecuta según un plan validado (incluye respaldo, pruebas, plan de reversión y comunicación).

   • Se asegura documentación de evidencia y ejecución segura.
     
     

5. Revisión y Cierre
   
   

   • Verificación del éxito del cambio.

   • Actualización de documentación técnica y de configuración.

   • Cierre formal en el registro de cambios.

6. Registro y Documentación

Todos los cambios deben quedar registrados en el Registro de Cambios del SGSI, incluyendo:

• Fecha

• Descripción

• Responsable

• Impacto en seguridad

• Aprobación

• Resultado de implementación

• Evidencias (logs, capturas, reportes)

7. Control de Cambios de Emergencia

• Se permite ejecución inmediata por causas de disponibilidad, seguridad o incidentes críticos.

• El responsable debe documentar el cambio y notificar al Comité dentro de 24 horas.

8. Cumplimiento y Monitoreo

• El cumplimiento será auditado regularmente.

• Incumplimientos pueden derivar en acciones disciplinarias según la política del SGSI.

9. Difusión y Revisión

• Esta política está publicada en los canales internos de TTPSEC SPA.

• Su revisión será anual o cuando existan cambios significativos.

10. Control de Cambios

Versión 1.0

Fecha 01/06/2025

Descripción del cambio Emisión inicial

Aprobado por Gerencia General