Procedimiento: Página 1 de 6

IM OC OFI PR 014
Fecha de impresión: Liberado: Borrador
2011/03/30 Número de Rev: 1
Aprobado por:
JEFE OFICINA INFORMÁTICA

PROCEDIMIENTO SEPARACIÓN DE AMBIENTES

1. Objetivo y Alcance
Establecer los lineamientos para garantizar una adecuada separación física y lógica entre los
ambientes de desarrollo, prueba y producción de los sistemas informáticos de INDUMIL, así como las
políticas para la generación o modificación de aplicaciones, software y recursos en general de esos
sistemas, buscando de esta forma garantizar la confidencialidad e integridad de su información.

Este procedimiento aplica para todas las actividades que impliquen acceso y modificación a los
diferentes ambientes de los sistemas de información administrados por el Proceso
PROCESAMIENTO ELECTRÓNICO DE DATOS de la Oficina de Informática de INDUMIL.

2. Definiciones
Compilador Programa que se encarga de traducir los programas escritos por el
programador en lenguaje de alto nivel (entendible por el ser humano) a
un lenguaje de bajo nivel que es el comprensible por la máquina y que,
de esta manera, permite que pueda ser ejecutado por el sistema de
información. Sería la transformación del código fuente a un lenguaje
máquina o código objeto.
Editor Programa que puede crear o modificar archivos de un tipo determinado.

3. Responsabilidades
OSI Oficial de Seguridad de la Información
PDI Propietarios de la Información
RSI Responsable de la realización de pruebas o desarrollo de sistemas de
información
ABD Administradores de bases de datos.

4. Procedimientos
Condiciones Generales
La Oficina de Informática proveerá los mecanismos, controles y recursos necesarios para tener
niveles adecuados de separación física y lógica entre los ambientes de desarrollo, pruebas y
producción para toda su plataforma tecnológica, con el fin de reducir el acceso no autorizado y evitar
cambios inadecuados.

La Oficina de Informática debe asegurar, mediante los controles adecuados, que los usuarios utilicen
diferentes perfiles para cada ambiente, y así mismo que los menús muestren los mensajes de
identificación apropiados para reducir los riesgos de error.

Se restringe el acceso a los compiladores, editores, utilidades de los sistemas y otras herramientas de
desarrollo desde los sistemas del ambiente de producción y pruebas. Esta restricción se extiende a
los usuarios que no lo requieran para el desarrollo de sus actividades laborales.

Borrador Emite a: N/A Número de copia : N/A

 Procedimiento: Página 2 de 6
IM OC OFI PR 014
Fecha de impresión: Liberado: Borrador
2011/03/30 Número de Rev: 1
Aprobado por:
JEFE OFICINA INFORMÁTICA

PROCEDIMIENTO SEPARACIÓN DE AMBIENTES

Definición de ambientes

Los ambientes que se definen para los sistemas de información críticos de INDUMIL administrados en
el Proceso de Informática son: ambiente de desarrollo, ambiente de pruebas (pre-producción) y
ambiente de producción.

1. Ambiente de desarrollo: Conjunto de elementos de hardware y software como compiladores,

editores, instaladores de lenguajes de programación, donde residen todos los recursos
informáticos necesarios para efectuar tareas relacionadas con la generación o modificación de
aplicaciones, entre otros; que son utilizados por la Oficina de Informática y los cuales
posteriormente se utilizarán en los sistemas de información operacional de la compañía.

2. Ambiente de pruebas: Conjunto de elementos de hardware y software que soportan los

sistemas de información utilizados por la Oficina de Informática para la comprobación de
funcionalidades de los desarrollos de software y aplicativos realizados por el área de desarrollo de
la Organización, y posterior ajustes a los mismos antes de ser puestos en funcionamiento en el
ambiente de producción.

3. Ambiente de producción: Conjunto de elementos de hardware y software que soporta los

sistemas de información utilizados por los usuarios finales para funcionamiento normal de las
operaciones en INDUMIL. En este ámbito deben residir aplicaciones en producción, bibliotecas o
directorios que contengan archivos de datos, bases de datos, programas ejecutables o
compilados.

Acceso a los ambientes

1. Ambiente de desarrollo: El acceso a los dispositivos que pertenecen al ambiente de desarrollo

es de uso exclusivo para funcionarios del área de desarrollo de INDUMIL. Cada uno de los
funcionarios del área de desarrollo debe tener su usuario y contraseña única, accesos y perfil
definidos según la POLÍTICA PARA EL CONTROL DE ACCESO LÓGICO “IM OC OFI IF 002” y
el PROCEDIMIENTO CONTROL DE ACCESO FÍSICO “IM OC OFI PR 015”. Bajo ningún caso se
deben tener usuarios y contraseñas genéricas.

2. Ambiente de pruebas: El acceso a los dispositivos que pertenecen al ambiente de pruebas es

de uso exclusivo para los funcionarios autorizados para realizar las pruebas de los diferentes
aplicativos que se generen en el Proceso de PROCESAMIENTO ELECTRÓNICO DE DATOS de
la Oficina de Informática de INDUMIL. Cada uno debe tener su usuario y contraseña única,
accesos y perfil definidos según las políticas enunciadas en el PROCEDIMIENTO DE
ADMINISTRACIÓN DE USUARIOS Y CONTRASEÑAS “IM OC OFI PR 001”. Bajo ningún caso
se deben tener usuarios y contraseñas genéricas.

3. Ambiente de producción: El acceso a los dispositivos que pertenecen al ambiente de

producción está permitido para todos los funcionarios de INDUMIL que por el cumplimiento de sus
funciones deben acceder a los mismos.

A los usuarios del ambiente de desarrollo, que debido a la naturaleza de sus labores, también
necesiten tener acceso al ambiente de producción, se les otorgarán estos accesos siempre y cuando
se implementen controles para registrar dichas actividades y monitorearlas periódicamente. Además,
se utilizarán perfiles distintos en cada ambiente.

Borrador Emite a: N/A Número de copia : N/A

 Procedimiento: Página 3 de 6
IM OC OFI PR 014
Fecha de impresión: Liberado: Borrador
2011/03/30 Número de Rev: 1
Aprobado por:
JEFE OFICINA INFORMÁTICA

PROCEDIMIENTO SEPARACIÓN DE AMBIENTES

Se aplicarán la POLÍTICA PARA EL CONTROL DE ACCESO LÓGICO “IM OC OFI IF 002” y el
PROCEDIMIENTO CONTROL DE ACCESO FÍSICO “IM OC OFI PR 015” para controlar el acceso al
ambiente de producción, desarrollo y pruebas a los demás funcionarios propios o de terceros que no
tengan autorización de ingresar a cada una de estas áreas o sistemas.

Separación de ambientes

Los ambientes de desarrollo, pruebas y producción deben estar totalmente separados, contando cada
uno con su plataforma, servidores, aplicaciones, dispositivos, versiones y demás, independientes de
los otros dos ambientes. Todo esto debido a que las actividades de desarrollo y pruebas presentan
una amenaza a la confidencialidad de la información de producción, pudiendo realizarse cambios no
planeados al software e información si ellos comparten el mismo ambiente.

Buscando lograr una adecuada separación de ambientes, se definirán las bibliotecas o directorios
para los funcionarios designados a trabajar en el ambiente de desarrollo, teniendo en cuenta lo
siguiente:

• Bibliotecas de Software de Base: Se alojará el software de base como compiladores, utilitarios,

entre otros.
• Bibliotecas de Desarrollo: Residirá en ellas los programas que están siendo desarrollados,
mantenidos y sus archivos correspondientes.
• Bibliotecas de Control: Permite la utilización de determinados mecanismos de control para la
correcta publicación o transferencia a los ambientes de producción de las versiones de programas
ejecutables que han sido desarrollados o modificados y la transferencia de las versiones de los
programas en código fuente a las bibliotecas de programas fuentes.

En el ambiente de producción se debe tener en cuenta las siguientes bibliotecas o repositorios:

• Biblioteca de Objetos Ejecutables: Contendrá todos los objetos ejecutables que corresponden a
las aplicaciones y software administrados en el Proceso de Informática de INDUMIL.
• Biblioteca de Datos de la aplicación: Contendrá las estructuras físicas de archivos, bases de
datos y las vistas lógicas asociadas y utilizadas por cada aplicación.
• Biblioteca de Fuentes: Se alojarán todos los programas fuentes de los sistemas administrados en
el Proceso de Informática de INDUMIL, que están o estaban en producción. Esta biblioteca debe
tener un nivel de seguridad máximo tanto lógico como físico ya que hace parte de los activos de
la Organización.

Los responsables de cada uno de los ambientes deben catalogar y mantener actualizado el software
con sus respectivos manuales de instalación, configuración y de usuarios, entre otros.

Requisitos adicionales de los ambientes

Por ningún caso debe usarse el ambiente de producción y sus recursos para la realización de
pruebas, desarrollos o modificaciones de sistemas, ya que estos actos presentan una amenaza a la
confidencialidad e integridad de la infraestructura tecnológica de INDUMIL.

Cuando se hace el desarrollo de software y aplicaciones en el ambiente de desarrollo, los nombres de

los menús deben ser claros y precisos, que no se presten a confusiones para así mitigar los errores
que puedan ser cometidos por los funcionarios y clientes.

Borrador Emite a: N/A Número de copia : N/A

 Procedimiento: Página 4 de 6
IM OC OFI PR 014
Fecha de impresión: Liberado: Borrador
2011/03/30 Número de Rev: 1
Aprobado por:
JEFE OFICINA INFORMÁTICA

PROCEDIMIENTO SEPARACIÓN DE AMBIENTES

El software o aplicaciones que se encuentren en estado de pruebas, y que por los resultados de las
mismas, se desea pasar a ambiente de producción, deberá seguir el proceso correspondiente según
el PROCEDIMIENTO GESTIÓN DE CAMBIOS “IM OC OFI PR 013”.

Los compiladores, editores, instaladores de software, versiones anteriormente desarrolladas y

manuales de desarrollo, deben conservarse en un lugar restringido al cual solamente el responsable
del activo y/o desarrollador tiene acceso, siendo un lugar seguro de almacenamiento en la red, donde
quede restringido el acceso a todo el público.

Metodología de pruebas

Es conveniente para la seguridad de la información de INDUMIL no usar los datos de producción

como datos de prueba para el desarrollo o modificación de sistemas.

Si se cree conveniente y es funcional, se pueden aplicar procedimientos de disociación de datos. En

los casos donde sea estrictamente necesario utilizar información de producción, esta copia de datos
debe ser autorizada por el Oficial de Seguridad de la Información y por el área responsable o
propietaria de dicha información. Esta solicitud se diligencia mediante el REGISTRO DE COPIA DE
DATOS ENTRE AMBIENTES “IM OC OFI FO 028”.

El funcionario que hace el requerimiento de utilización de información de producción, será quien esté
a cargo del ambiente de pruebas.

Una vez las pruebas hayan finalizado los datos deben ser eliminados del ambiente de pruebas, este
proceso será supervisado por el Administrador de la Base de Datos. Estas actividades deberán ser
registradas en el REGISTRO DE COPIA DE DATOS ENTRE AMBIENTES “IM OC OFI FO 028”.

Adicionalmente, este proceso de copiado de datos quedará reflejado en los logs correspondientes a
las Bases de Datos utilizadas y a las aplicaciones necesarias para dicha actividad.

Al finalizar las pruebas, el funcionario encargado de las mismas determinará si las pruebas fueron
satisfactorias para que sean pasadas a ambiente de producción o por el contrario se necesitan
ajustes a los aplicativos, así el funcionario reportará las observaciones necesarias para que se
realicen los debidos ajustes.

Verificación de ambientes

El Oficial de Seguridad de la Información podrá verificar en cualquier momento las versiones

instaladas tanto en pruebas como en producción y confrontará esta información con la tomada en el
mes anterior y con las versiones de programas fuentes almacenadas en los repositorios de INDUMIL.
También revisará otra información como aplicativos instalados en los ambientes, software adicional,
dispositivos necesarios en cada uno de los ambientes, entre otros. Esta información será almacenada
mediante el REGISTRO DE VERIFICACIÓN DE AMBIENTES “IM OC OFI FO 029”.

Cualquier versión, aplicativo o dispositivo que no corresponda con los catalogados deberá ser tomado
como un incidente de seguridad y por lo tanto se deberá seguir el PROCEDIMIENTO GESTIÓN DE
INCIDENTES DE SEGURIDAD “IM OC OFI PR 004”.

Set de pruebas

Borrador Emite a: N/A Número de copia : N/A

 Procedimiento: Página 5 de 6
IM OC OFI PR 014
Fecha de impresión: Liberado: Borrador
2011/03/30 Número de Rev: 1
Aprobado por:
JEFE OFICINA INFORMÁTICA

PROCEDIMIENTO SEPARACIÓN DE AMBIENTES

El Set de Pruebas se define como el proceso que la Oficina de Informática deberá seguir para
ejercitar o evaluar el sistema, por medios manuales o automáticos, con el fin de verificar que satisface
los requerimientos o, para identificar diferencias entre los resultados esperados y los que producen el
sistema.

Los pasos que la Oficina de Informática deberá seguir para evaluar el sistema son:

1. Seleccionar qué es lo que debe medir la prueba, es decir, cuál es su objetivo, para qué
exactamente se hace la prueba.
2. Definir cómo se va a realizar la prueba, es decir, qué clase de prueba se va a utilizar para medir la
calidad escogida y qué clase de elementos de prueba se deben usar (conjunto de datos, cantidad
de usuarios).
3. Desarrollar los casos de prueba. Un caso de prueba es un conjunto de datos o situaciones de
prueba que se utilizarán para ejecutar la unidad que se prueba o para revelar algo sobre el
atributo de calidad que se está midiendo.
4. Determinar cuáles deberían ser los resultados esperados o correctos de los casos de prueba y
crear el documento con los casos y sus resultados esperados, denominado oráculo de prueba,
antes de realizar la prueba.
5. Ejecutar los casos de prueba.
6. Comparar los resultados de la prueba con los resultados esperados. Cualquier
discrepancia entre ellos significa un error. Típicamente el error está en el sistema o
unidad probada, pero también puede ser generado por algún aspecto del mismo proceso
de prueba.

LA DESCRIPCIÓN DE LAS ETAPAS SE ENCUENTRA DETALLADA EN EL

ANEXO 1. DIAGRAMA DE FLUJO.XLSX

5 Referencias
5.1. Procedimientos y/o Procesos relacionados
POLÍTICA DE CONTROL DE ACCESO LÓGICO. IM OC OFI IF 002
PROCEDIMIENTO DE ADMINISTRACIÓN DE USUARIOS IM OC OFI PR 001
Y CONTRASEÑAS.
PROCEDIMIENTO GESTIÓN DE INCIDENTES DE IM OC OFI PR 004
SEGURIDAD
PROCEDIMIENTO GESTIÓN DE CAMBIOS IM OC OFI PR 013
PROCEDIMIENTO DE CONTROL DE ACCESO FÍSICO. IM OC OFI PR 015
PROCESO PROCESAMIENTO ELECTRÓNICO DE IM OC OFI PS 001
DATOS

5.2 Documentos de referencia

MANUAL DE GESTIÓN INTEGRAL “IM OC OFP MN 001”
NTC-ISO-IEC 27001:2005. Sistema de gestión de Seguridad en la Información

Borrador Emite a: N/A Número de copia : N/A

 Procedimiento: Página 6 de 6
IM OC OFI PR 014
Fecha de impresión: Liberado: Borrador
2011/03/30 Número de Rev: 1
Aprobado por:
JEFE OFICINA INFORMÁTICA

PROCEDIMIENTO SEPARACIÓN DE AMBIENTES

6. Registros
REGISTRO DE COPIA DE DATOS ENTRE AMBIENTES IM OC OFI FO 028
REGISTRO DE VERIFICACIÓN DE AMBIENTES IM OC OFI FO 029

7. Referencias de política
Este procedimiento cumple con lo establecido en las Cláusulas A.10.1.4, A.12.4.2, y A.12.4.3 de la
norma ISO/IEC 27001:2005 y se encuentra alineado con la Declaración de Aplicabilidad respecto al
Sistema de Gestión de Seguridad de la Información del Proceso de Informática de INDUMIL.

8. Control de Cambios y Anexos

8.1 Control de cambios

Motivo Sección Numeral Página Descripción de la modificación

Este procedimiento no cuenta con control de cambios por tratarse de primera versión.

8.2 Anexos

1. DIAGRAMA DE FLUJO – DESCRIPCIÓN DE LAS ACTIVIDADES.xlsx

2. Registro copia de datos entre ambientes.doc
3. Registro de verificación de ambientes.doc

Borrador Emite a: N/A Número de copia : N/A