Professional Documents
Culture Documents
IM OC OFI PR 014
Fecha de impresión: Liberado: Borrador
2011/03/30 Número de Rev: 1
Aprobado por:
JEFE OFICINA INFORMÁTICA
Este procedimiento aplica para todas las actividades que impliquen acceso y modificación a los
diferentes ambientes de los sistemas de información administrados por el Proceso
PROCESAMIENTO ELECTRÓNICO DE DATOS de la Oficina de Informática de INDUMIL.
2. Definiciones
Compilador Programa que se encarga de traducir los programas escritos por el
programador en lenguaje de alto nivel (entendible por el ser humano) a
un lenguaje de bajo nivel que es el comprensible por la máquina y que,
de esta manera, permite que pueda ser ejecutado por el sistema de
información. Sería la transformación del código fuente a un lenguaje
máquina o código objeto.
Editor Programa que puede crear o modificar archivos de un tipo determinado.
3. Responsabilidades
OSI Oficial de Seguridad de la Información
PDI Propietarios de la Información
RSI Responsable de la realización de pruebas o desarrollo de sistemas de
información
ABD Administradores de bases de datos.
4. Procedimientos
Condiciones Generales
La Oficina de Informática proveerá los mecanismos, controles y recursos necesarios para tener
niveles adecuados de separación física y lógica entre los ambientes de desarrollo, pruebas y
producción para toda su plataforma tecnológica, con el fin de reducir el acceso no autorizado y evitar
cambios inadecuados.
La Oficina de Informática debe asegurar, mediante los controles adecuados, que los usuarios utilicen
diferentes perfiles para cada ambiente, y así mismo que los menús muestren los mensajes de
identificación apropiados para reducir los riesgos de error.
Se restringe el acceso a los compiladores, editores, utilidades de los sistemas y otras herramientas de
desarrollo desde los sistemas del ambiente de producción y pruebas. Esta restricción se extiende a
los usuarios que no lo requieran para el desarrollo de sus actividades laborales.
Los ambientes que se definen para los sistemas de información críticos de INDUMIL administrados en
el Proceso de Informática son: ambiente de desarrollo, ambiente de pruebas (pre-producción) y
ambiente de producción.
A los usuarios del ambiente de desarrollo, que debido a la naturaleza de sus labores, también
necesiten tener acceso al ambiente de producción, se les otorgarán estos accesos siempre y cuando
se implementen controles para registrar dichas actividades y monitorearlas periódicamente. Además,
se utilizarán perfiles distintos en cada ambiente.
Separación de ambientes
Los ambientes de desarrollo, pruebas y producción deben estar totalmente separados, contando cada
uno con su plataforma, servidores, aplicaciones, dispositivos, versiones y demás, independientes de
los otros dos ambientes. Todo esto debido a que las actividades de desarrollo y pruebas presentan
una amenaza a la confidencialidad de la información de producción, pudiendo realizarse cambios no
planeados al software e información si ellos comparten el mismo ambiente.
Buscando lograr una adecuada separación de ambientes, se definirán las bibliotecas o directorios
para los funcionarios designados a trabajar en el ambiente de desarrollo, teniendo en cuenta lo
siguiente:
• Biblioteca de Objetos Ejecutables: Contendrá todos los objetos ejecutables que corresponden a
las aplicaciones y software administrados en el Proceso de Informática de INDUMIL.
• Biblioteca de Datos de la aplicación: Contendrá las estructuras físicas de archivos, bases de
datos y las vistas lógicas asociadas y utilizadas por cada aplicación.
• Biblioteca de Fuentes: Se alojarán todos los programas fuentes de los sistemas administrados en
el Proceso de Informática de INDUMIL, que están o estaban en producción. Esta biblioteca debe
tener un nivel de seguridad máximo tanto lógico como físico ya que hace parte de los activos de
la Organización.
Los responsables de cada uno de los ambientes deben catalogar y mantener actualizado el software
con sus respectivos manuales de instalación, configuración y de usuarios, entre otros.
Por ningún caso debe usarse el ambiente de producción y sus recursos para la realización de
pruebas, desarrollos o modificaciones de sistemas, ya que estos actos presentan una amenaza a la
confidencialidad e integridad de la infraestructura tecnológica de INDUMIL.
Metodología de pruebas
El funcionario que hace el requerimiento de utilización de información de producción, será quien esté
a cargo del ambiente de pruebas.
Una vez las pruebas hayan finalizado los datos deben ser eliminados del ambiente de pruebas, este
proceso será supervisado por el Administrador de la Base de Datos. Estas actividades deberán ser
registradas en el REGISTRO DE COPIA DE DATOS ENTRE AMBIENTES “IM OC OFI FO 028”.
Adicionalmente, este proceso de copiado de datos quedará reflejado en los logs correspondientes a
las Bases de Datos utilizadas y a las aplicaciones necesarias para dicha actividad.
Al finalizar las pruebas, el funcionario encargado de las mismas determinará si las pruebas fueron
satisfactorias para que sean pasadas a ambiente de producción o por el contrario se necesitan
ajustes a los aplicativos, así el funcionario reportará las observaciones necesarias para que se
realicen los debidos ajustes.
Verificación de ambientes
Cualquier versión, aplicativo o dispositivo que no corresponda con los catalogados deberá ser tomado
como un incidente de seguridad y por lo tanto se deberá seguir el PROCEDIMIENTO GESTIÓN DE
INCIDENTES DE SEGURIDAD “IM OC OFI PR 004”.
Set de pruebas
Los pasos que la Oficina de Informática deberá seguir para evaluar el sistema son:
1. Seleccionar qué es lo que debe medir la prueba, es decir, cuál es su objetivo, para qué
exactamente se hace la prueba.
2. Definir cómo se va a realizar la prueba, es decir, qué clase de prueba se va a utilizar para medir la
calidad escogida y qué clase de elementos de prueba se deben usar (conjunto de datos, cantidad
de usuarios).
3. Desarrollar los casos de prueba. Un caso de prueba es un conjunto de datos o situaciones de
prueba que se utilizarán para ejecutar la unidad que se prueba o para revelar algo sobre el
atributo de calidad que se está midiendo.
4. Determinar cuáles deberían ser los resultados esperados o correctos de los casos de prueba y
crear el documento con los casos y sus resultados esperados, denominado oráculo de prueba,
antes de realizar la prueba.
5. Ejecutar los casos de prueba.
6. Comparar los resultados de la prueba con los resultados esperados. Cualquier
discrepancia entre ellos significa un error. Típicamente el error está en el sistema o
unidad probada, pero también puede ser generado por algún aspecto del mismo proceso
de prueba.
5 Referencias
5.1. Procedimientos y/o Procesos relacionados
POLÍTICA DE CONTROL DE ACCESO LÓGICO. IM OC OFI IF 002
PROCEDIMIENTO DE ADMINISTRACIÓN DE USUARIOS IM OC OFI PR 001
Y CONTRASEÑAS.
PROCEDIMIENTO GESTIÓN DE INCIDENTES DE IM OC OFI PR 004
SEGURIDAD
PROCEDIMIENTO GESTIÓN DE CAMBIOS IM OC OFI PR 013
PROCEDIMIENTO DE CONTROL DE ACCESO FÍSICO. IM OC OFI PR 015
PROCESO PROCESAMIENTO ELECTRÓNICO DE IM OC OFI PS 001
DATOS
6. Registros
REGISTRO DE COPIA DE DATOS ENTRE AMBIENTES IM OC OFI FO 028
REGISTRO DE VERIFICACIÓN DE AMBIENTES IM OC OFI FO 029
7. Referencias de política
Este procedimiento cumple con lo establecido en las Cláusulas A.10.1.4, A.12.4.2, y A.12.4.3 de la
norma ISO/IEC 27001:2005 y se encuentra alineado con la Declaración de Aplicabilidad respecto al
Sistema de Gestión de Seguridad de la Información del Proceso de Informática de INDUMIL.
8.2 Anexos