Controles de Gestión de Parches y Cambios: Cruciales para El Éxito de La Organización

GUÍA DE AUDITORÍA DE TECNOLOGÍA GLOBAL
Controles de gestión
de parches y cambios:
cruciales para el éxito
de la organización
Instituto de Auditores Internos
Guía de Auditoría de Tecnología Global
Controles de gestión de parches y cambios: cruciales para el éxito de
la organización
Autores:
Jay R. Taylor, General Motors Corp.

Julia H. Allen, Universidad Carnegie Mellon, Instituto de Ingeniería de Software
Glenn L. Hyatt, General Motors Acceptance Corp.
Gene H. Kim, Tripwire Inc.
Copyright © 2005 del Instituto de Auditores Internos, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201.
Todods los derechos reservados. Impreso en Estados Unidos. Ninguna parte de esta publicación puede ser reproducida,
guardada en un sistema de recuperación o transmitida en forma alguna ni por ningún medio, sea electrónico, mecánico,
fotocopia, grabación, o cualquier otor, sin obtener previamente el permiso por escrito del editor.
El IIA publica este documento con fines de informativos y educativos. Este documento tiene como propósito bindar
información, pero no sustituye el asesoramiento legal o contable. El IIA no ofrece ese tipo de asesoramiento y no
garantiza ningún resultado legal ni contable por medio de la publicación de este documento. Cuando surgen cuestiones
legales o contables, se debe recurrir y obtener asistencia profesional.
i
GTAG — Índice
Parte 1
Resumen ejecutivo .............................................................................................................................................................. 1
Parte 2
Introducción.......................................................................................................................................................................... 4
Parte 3
¿Por qué debo interesarme en cómo la organización gestiona el cambio?.......................................................................... 9
Parte 4
Definir la gestión de cambio de TI.................................................................................................................................... 13
Parte 5
¿Qué preguntas debo hacer sobre la gestión de parches y cambios? ................................................................................ 21
Parte 6
Tres meses más tarde: finaliza la historia de Silvia............................................................................................................ 25
Parte 9
¿Por dónde deben comenzar los auditores internos? ........................................................................................................ 28
Parte 8
¿Dónde puedo obtener más información?.......................................................................................................................... 31
Parte 9
Apéndice A: Programa de auditoría de gestión del cambio de TI.................................................................................... 32
Parte 10
Apéndice B: Metodología de Operaciones Visibles .......................................................................................................... 39
Parte 11
Apéndice C: Ejemplo Práctico de Negocio para la Gestión del Cambio ........................................................................ 39
Parte 12
Apéndice D: Herramientas de la Gestión del Cambio y Proveedores.............................................................................. 42
Parte 13
Referencias ........................................................................................................................................................................ 43
Parte 14
Acerca de los autores ........................................................................................................................................................ 44
ii
GTAG — Lista de figuras y cuadros
Lista de figuras
Figura 1: Modelo COSO ERM para la gestión del cambio .............................................................................................. 12
Figura 2: Trabajo no planificado como indicador de procesos eficaces de gestión del cambio ........................................ 18
Figura 3: Variables clave que influyen sobre los procesos de gestión del cambio ............................................................ 18
Figura 4: Niveles de capacidad de gestión del cambio ...................................................................................................... 23
Lista de cuadros
Cuadro 1: Mediciones de la gestión del cambio .............................................................................................................. 16
Cuadro 2: Preguntas a realizar sobre la gestión del cambio agrupadas por arquetipo ...................................................... 21
Cuadro 3: Programa de auditoría de gestión del cambio de TI ........................................................................................ 33
Cuadro 4: Roles típicos...................................................................................................................................................... 38
Cuadro 5: Separación de funciones .................................................................................................................................. 38
Cuadro 6: Problemas e indicadores de gestión ineficaz del cambio.................................................................................. 40
Cuadro 7: Beneficios de una transformación eficaz .......................................................................................................... 40
iii
GTAG — Resumen ejecutivo — 1
1.1 ¿Por qué el Director Ejecutivo de producción, entre ellos:

Auditoría debe involucrarse en el control • Revisiones al código de aplicación.
de la gestión de parches y cambios? • Actualizaciones de sistemas (aplicaciones, sistemas ope-
Probablemente, usted se esté preguntando porqué debe leer rativos, bases de datos).
una guía sobre la gestión de parches y cambios de la tecnolo- • Cambios de infraestructura (servidores, cables, rutea-
gía informática (TI). Al fin y al cabo, ¿no es este un asunto dores, filtros de seguridad, etc.).
que puede delegar por completo en su personal técnico de En conjunto, nos referimos a ellos como "cambios de
auditoría de TI? Además, ¿no hay guías lo suficientemente TI". Todas las organizaciones tienen que afrontar los cambios
minuciosas sobre este asunto que retoma la gestión del entor- de TI con eficacia porque prácticamente cualquier decisión
no de computadora central? La respuesta breve a estas dos pre- de negocio exige uno o más cambios en los activos. Cuando
guntas es “no”. los cambios fallan o se controlan de manera deficiente, el
Si bien el rol principal de los directores ejecutivos de impacto en el negocio puede ir desde inconvenientes meno-
auditoría no incluye el requisito de ser experto en tecnología, res hasta eventos que impidan el logro de los objetivos del
existen riesgos significativos asociados a los usos de la tecno- negocio, incluida la capacidad de cumplir con un conjunto
logía en prácticamente todas las actividades empresariales. Es de regulaciones cada vez más grande.
importante comprender que no es necesario que usted sea un
experto para ayudar a las personas a gestionar la tecnología y 1.2 Una gestión del cambio deficiente se
sus riesgos asociados. El objetivo de esta guía es ayudar a los puede identificar rápidamente
directores ejecutivos de auditoría, a los ejecutivos del mismo Esta guía fue desarrollada para ayudar a los directores ejecu-
nivel, y al personal en general, a que mejoren sus conocimien- tivos de auditoría a plantear las preguntas acertadas a la orga-
tos sobre gestión de tecnología, a la vez que sirve para ayudar- nización de TI a fin de evaluar la capacidad de gestión del
les a aconsejar a la dirección cómo dirigir estos procesos de cambio. Con el propósito de ayudarlo a evaluar rápidamente
manera eficaz. el nivel general de riesgo del proceso y a determinar si es
Respecto al público para quien se diseñó esta guía, los necesaria una revisión más detallada de ese proceso, esta guía
temas relativos a control de cambio de TI raramente han cobra- también proporciona las respuestas que se esperan de tales
do tanta importancia como en la actualidad. Los directores eje- preguntas.
cutivos de auditoría son responsables ante los comités de
auditoría y se espera que cumplan con las diversas regulaciones, Los primeros cinco indicadores de riesgo de una gestión
como la Ley Sarbanes-Oxley de EE. UU. de 2002, Artículo 404. de cambio deficiente:
Por lo tanto, tener los conocimientos necesarios para cuestionar • Cambios no autorizados (un valor por encima de cero no
la gestión de TI no sólo es útil sino también esencial. es aceptable).
Después de leer esta guía, usted podrá: • Interrupciones no planificadas.
• Disponer de un conocimiento activo de los procesos de • Baja tasa de éxito del cambio.
gestión del cambio. • Gran cantidad de cambios de emergencia.
• Diferenciar rápidamente los procesos de gestión del • Demoras en las implementaciones de proyecto.
cambio excelentes de los ineficaces.
• Reconocer rápidamente los indicadores y las señales de Esta guía incluye mediciones probadas en campo para ayu-
alarma indicativas de la existencia de problemas de con- darle a evaluar la salud del proceso de gestión del cambio
trol en los entornos de TI relacionados con la gestión cuantitativamente, como así también sugerirle mediciones
del cambio. de gestión para guiar a su organización a lograr y mantener
• Comprender que la gestión del cambio eficaz depende de niveles de control y rendimiento cada vez más altos. De esta
la implementación de controles preventivos, de detec- manera, los auditores internos pueden ayudar a la Dirección
ción y corrección para fortalecer la separación de funcio- identificando las fuentes de riesgo para la organización y eva-
nes y asegurar una supervisión de gestión adecuada. luar la eficacia de los procesos de gestión de riesgo, control y
• Estar en condiciones de recomendar las mejores prácti- gobierno.
cas conocidas para tratar estos problemas, tanto para Entre los síntomas e indicadores fácilmente reconoci-
proporcionar un grado de seguridad respecto a riesgos bles de fallos de control a causa de cambios de TI controla-
(incluidas las certificaciones de controles), como tam- dos deficientemente se incluyen:
bién para aumentar el nivel de eficacia y eficiencia. • Falta de disponibilidad de servicios y funciones críti-
• Vender sus recomendaciones más eficazmente a los cas, incluso durante breves períodos de tiempo.
Directores de TI , a los Máximos Ejecutivos y a los • Inactividad imprevista del sistema o de la red que a su
Directores Financieros. vez detiene los procesos críticos del negocio, como la
Dado que cualquier “riesgo de TI” genera cierto grado de ries- coordinación de calendarios con proveedores y la res-
go de negocio, es importante que el Director Ejecutivo de puesta a los pedidos del cliente.
Auditoría comprenda en profundidad los problemas de gestión • Inactividad de una aplicación crítica, base de datos o
del cambio. servidores Web, que impide a los usuarios realizar sus
La gestión de parches y cambios se define en este documento tareas críticas.
como el conjunto de procesos ejecutados dentro del departamen- • Publicidad negativa y atraer la atención indeseada del
to de TI de la organización diseñado para gestionar mejoras, actua- Consejo de Administración.
lizaciones, correcciones progresivas y parches en los sistemas de
1
GTAG — Resumen ejecutivo — 1
A un determinado nivel organizacional, los indicadores de ausencia de controles automáticos preventivos, de detección
que las organizaciones de TI tal vez presenten problemas sis- y corrección que posibilitan buenas decisiones basadas en el
témicos de control de gestión del cambio son, entre otros: riesgo con respecto al cambio, monitorización eficaz y apli-
• La mayor parte del tiempo de TI de la organización se cación del proceso de gestión del cambio.
emplea en operaciones y mantenimiento (>70%), en Las organizaciones de alto rendimiento de TI también
lugar de ayudar al negocio a implementar nuevas han llegado a esta conclusión, que a su vez está respaldada
capacidades. por un trabajo bastante amplio realizado por el Instituto de
• Imposibilidad de completar proyectos y trabajos plani- Ingeniería de Software (en inglés, SEI) y el Instituto de
ficados (a causa de la necesidad de combatir numero- Procesos de TI (en inglés, ITPI).
sas situaciones de emergencia y trabajos no planeados). ¿Qué tienen en común las organizaciones de alto rendi-
• Se despierta a la Dirección de TI en el medio de la miento de TI? Poseen una cultura de gestión del cambio que
noche por diversos problemas. impide y evita cambios sin la correspondiente autorización.
• Alta rotación del personal de TI. Además, "confían, pero siempre verifican" mediante el uso
• Relaciones de confrontación entre el personal de asis- de controles de detección independientes para conciliar los
tencia técnica de TI, los desarrolladores y los clientes cambios en la producción contra los cambios autorizados y,
del negocio (internos o externos), generalmente a raíz en el caso de interrupciones de servicio, excluyen la opción
de la mala calidad del servicio o por demoras en la de "cambiar primero" en el ciclo de reparaciones. Por último,
entrega de funcionalidad. también cuentan con el tiempo promedio de reparación más
• La gestión de TI invierte una excesiva cantidad de bajo (en inglés, MTTR).
tiempo en prepararse para las auditorías de TI y solu- Los auditores observarán que en estas organizaciones de
cionar los problemas detectados. alto rendimiento de TI, la gestión del cambio no se ve como
algo burocrático, sino por el contrario, como la única red de
Lo que separa a muchas organizaciones de tener un desem- seguridad que evita que se conviertan en una organización de
peño deficiente es sólo un cambio nada más. bajo rendimiento. En otras palabras, la gestión de TI posee
los controles para alcanzar sus propios objetivos de negocio
de manera eficiente y eficaz.
1.3 Reflexiones para comprender cómo se
gestiona el cambio de TI con eficacia El logro de una tasa de éxito del cambio de más de 70% sólo
La gestión del cambio frecuentemente es un tema de difícil es posible con controles preventivos y de detección.
dominio para las organizaciones dado que hay muchas partes
interesadas involucradas (por ejemplo, gerentes de negocio, Loa auditores internos, junto con la dirección, desean asegu-
desarrolladores de sistemas de aplicación, personal de opera- rar que los riesgos relacionados con la gestión del cambio se
ciones de TI, auditores, etc.). No obstante, esta no es una hayan identificado, medido y gestionado correctamente. El
razón para que las organizaciones sean complacientes con los punto clave a recordar es que la gestión de cambio exige con-
controles inadecuados o con desempeños deficientes. centrarse en el proceso con un enfoque administrador y huma-
Los entornos de producción estables y bien administra- no que está respaldado por controles técnicos y automáticos.
dos exigen que la implementación de cambios sea predecible
y repetible, que obedezca a un proceso controlado que se 1.3.1 Consideraciones regulatorias
pueda definir, supervisar e implementar. Los controles de TI Los procesos de gestión de cambio eficaz sirven para que la
necesarios para alcanzar esto son análogos a los controles uti- organización pueda cumplir permanentemente con las nue-
lizados en los procesos financieros para reducir el riesgo de vas y aún más amplias regulaciones. Se debe prestar especial
fraude y errores: separación de controles de funciones (que atención cuando se implementan cambios de tecnología que
son de naturaleza preventiva) y de controles de supervisión respaldan el proceso de preparación de informes financieros.
(que son de naturaleza preventiva y de detección). Esos cambios pueden afectar al cumplimiento organizacional
[Chambers 03] con la Ley Sarbanes-Oxley, las directivas de privacidad de la
Los directores ejecutivos de auditoría deben estar bastan- Unión Europea y los requisitos del Proyecto de ley del
te familiarizados con estos controles: Únicamente el personal Senado (SB) 1386 del Estado de California. Los cambios sin
mínimo necesario para implementar los cambios de TI en pro- control en producción pueden conducir a errores, que si son
ducción debe tener acceso a dicho entorno (preventivo). Los universales o críticos, se considerarán como deficiencias
procesos de autorización deben involucrar a las partes intere- importantes. Cuando determinados controles financieros
sadas para evaluar y mitigar los riesgos asociados a los cambios clave se ven afectados o bien cuando la organización no
propuestos (preventivo). Los procesos de supervisión deben pudo corregir deficiencias importantes de control general de
impulsar a la gerencia de TI y al personal relacionado a asumir TI, que fueron identificadas el año anterior (como, por ejem-
sus funciones responsablemente (preventivo) y a ser capaces plo, en gestión del cambio), la gestión probablemente
de detectar un desempeño errático (de detección). enfrente la posibilidad de tener que resolver debilidades
Donna Scott, Vicepresidenta y Directora de materiales.
Investigación de Gartner, destaca que “el 80% del tiempo de
inactividad de [TI] no planificado se debe a problemas del Cuando el fallo no es una opción
proceso o provocados por las personas, incluidas las prácticas Al gestionar los cambios, usted controla gran parte del riesgo
de gestión del cambio". Estos problemas surgen a partir de la potencial que los cambios pueden introducir.
2
GTAG — Resumen
Introduction
ejecutivo —
–13
1.4 Los primeros cinco pasos para minimizar ellos se busca detectar las áreas que necesitan fortalecimien-
los riesgos del cambio de TI to. A esos fines, la importancia de un proceso de gestión del
En esta guía, hemos encuadrado las mejores prácticas que se cambio eficaz no se debe subestimar y los auditores internos
observaron en cuanto a procesos de gestión del cambio que deben considerar la posibilidad de efectuar revisiones regu-
reducen el riesgo del negocio y aumentan el grado de eficien- larmente.
cia y eficacia de TI. En resumen, los cinco pasos prescripti-
vos que la mayoría de las organizaciones pueden adoptar de
inmediato para mejorar sus procesos de gestión del cambio
son los siguientes:
• Crear un ambiente en la alta dirección que motive la
necesidad de una cultura de gestión del cambio en
toda la empresa, que a su vez esté respaldada por una
declaración de la gerencia de TI de que la única canti-
dad de cambios no autorizados aceptable es cero.
Entonces, se pueden poner en práctica controles pre-
ventivos y de detección para ayudar y sostener este
objetivo a fin de asegurarse de que todos los cambios
de producción sean conciliados con órdenes de traba-
jo autorizadas.
• Monitorizar continuamente la cantidad de interrup-
ciones no planeadas, lo cual es un excelente indicador
de cambios no autorizados y fallos en el control de
cambios.
• Reducir la cantidad de cambios que implican riesgos al
establecer de manera específica períodos para congela-
ción de cambios y mantenimiento bien definidos y de
estricto cumplimiento. De esta manera se maximiza el
grado de estabilidad y productividad durante las horas
de producción. Las interrupciones no planificadas sir-
ven como indicadores eficaces de que este proceso de
cambio está siendo soslayado.
• Utilice la tasa de éxito del cambio como un indicador
clave del desempeño de la gestión de TI. En los entor-
nos donde los cambios no son gestionados, monitoriza-
dos y controlados, las tasas de éxito de cambio por lo
general están por debajo del 70%. Cada cambio fallido
genera tiempo improductivo potencial, trabajos de
emergencia y no planeados, discrepancias con los pla-
nes y riesgo de negocio. Para aumentar la tasa de éxito
del cambio se necesitan controles eficaces preventivos,
de detección y corrección.
• Utilice el trabajo no planificado como indicador de
eficacia de los procesos y controles de gestión de TI.
Las organizaciones de TI con alto rendimiento dedican
menos del 5% de su tiempo a trabajos no planificados,
en tanto que las organizaciones promedio más frecuen-
temente emplean del 45% al 55% de su tiempo en
actividades no planeadas (y urgentes).
1.5 El rol del auditor interno

El Comité de Auditoría desea asegurarse de que la gerencia
haya identificado y evaluado los riesgos que podrían impedir
alcanzar los objetivos del negocio. Se deben adoptar proce-
sos robustos para mitigar, gestionar, aceptar o transferir los
riesgos eficazmente. Los auditores internos son los ojos y
oídos de la gerencia y del comité de auditoría, a través de
3
GTAG — Introducción — 2
Esta guía aborda la gestión de parches y cambios de TI como los riesgos se pueden controlar mediante procesos de gestión
herramienta de gestión y trata los siguientes temas:ón y trata de parches y cambios prudentes y bien diseñados. Tal vez sea
los siguientes temas: menos evidente que una buena gestión de parches y cambios
• ¿Por qué la gestión de parches y cambios de TI es de TI puede reducir costos.
importante? Sin control y visibilidad adecuados, una organización
• ¿De qué manera la gestión de parches y cambios de TI puede gastar dinero y esfuerzo en cambios innecesarios y
ayuda a controlar los riesgos y los costos de TI? menos prioritarios, a la vez que se descuidan iniciativas
• ¿Qué estrategias funcionan y cuáles no? más importantes. Los cambios de diseño deficiente o sin
• ¿Cómo saber si la gestión de parches y cambios de TI la ponderación adecuada pueden ocasionar interrupcio-
funciona eficazmente? nes que luego, después del hecho, deberán ser resueltas, o
• ¿Qué debe hacer la auditoría interna? bien puede ocurrir que se deban “retirar” los cambios rea-
Los apéndices de la guía proporcionan herramientas a la lizados. Los cambios de TI en un componente pueden
gerencia y a los auditores para entender y abordar los riesgos interrumpir la operación de otros componentes. Estas
inherentes a la gestión de parches y cambios de TI. interrupciones cuestan tiempo y dinero, sin embargo, se
pueden mitigar mediante un buen proceso de gestión de
2.1 ¿Por qué la gestión de parches y cambios de parches y cambios de TI.
TI es importante? Por último, la gestión del cambio de TI ineficiente
Las recientes investigaciones han demostrado que una ges- e ineficaz puede costarle a la organización las siguientes con-
tión deficiente de parches y cambios de TI aumenta el tiem- secuencias:
po improductivo y los costos. Hay ejemplos destacados que • Desgaste del personal de TI altamente calificado debi-
ilustran este problema. CNET News informó que en 2001, do a la frustración producida por los resultados de baja
un “error de configuración del ruteador” de Microsoft inte- calidad.
rrumpió el servicio a Microsoft.com, MSN.com, • Sistemas de baja calidad que impiden a los empleados
Expedia.com y a otros más. No se pudo reanudar el servicio ser eficaces y eficientes, o que hacen perder clientes.
por completo sino hasta después de transcurridas 22 horas.1 • Pérdida de oportunidades para proporcionar a los
En el año 2004, el diario Globe and Mail informó sobre un clientes servicios y productos innovadores o más efi-
cambio de software relativamente menor en el banco Royal cientes.
Bank de Canadá que ocasionó que “de repente, 10 millones Los procesos de gestión del cambio de TI bien diseñados y
de clientes del banco no pudieran saber con seguridad los sal- rigurosamente implementados pueden producir los resulta-
dos de sus cuentas durante varios días y una cantidad no dos opuestos. Los esfuerzos de TI se pueden centrar en las
especificada de personas se quedó esperando para realizar prioridades del negocio. Se pueden minimizar las situaciones
depósitos y otras transferencias”2 ¿De qué forma se puede de emergencias al respecto. Se puede retener al personal de
siquiera comenzar a calcular los costos de tales problemas? TI y motivarlo para alcanzar la excelencia. Se puede propor-
Considere que las organizaciones que tienen mejor gestión cionar a los empleados herramientas que ampliarán su pro-
de parches y cambios ostentan las siguientes características: ductividad. Los clientes se sentirán satisfechos con sistemas
• Gastan menos dinero y energía de TI en trabajo no que responden a sus necesidades.
planificado.
• Destinan más cantidad de dinero y energía de TI a 2.3 ¿Qué estrategias funcionan y cuáles no?
nuevos trabajos y a alcanzar las metas del negocio. Para ser eficaz, la gestión del cambio de TI debe proporcio-
• Tienen menos tiempo improductivo. nar a la dirección de la organización un grado de visibilidad
• Instalan parches con interrupciones mínimas. en los siguientes puntos:
• Se concentran más en las mejoras y menos en “apagar • Qué es lo que se cambia, por qué y cuándo.
incendios”. • Cómo se implementan los cambios eficiente y
Si las organizaciones necesitan más incentivos que estos, la eficazmente.
Ley Sarbanes-Oxley (para aquellos a quienes compete) los • Cuáles son los problemas ocasionados por los cambios
proporciona al exigirle a la dirección ejecutiva que compren- y qué grado de severidad tienen.
da y apruebe formalmente los controles sobre la preparación • Cuánto cuestan los cambios.
de informes financieros, incluidos los controles de TI. Sin una • Cuáles son los beneficios que brindarán los cambios.
gestión del cambio de TI eficaz, es difícil ver cómo la direc- Esa visibilidad se proporciona a través de mediciones e indi-
ción puede cumplir con los requisitos de la Ley y garantizar la cadores que se informan de manera regular y objetiva. Esos son
integridad de los estados financieros. los instrumentos del tablero de mando que otorgan a la direc-
ción la visibilidad necesaria.
2.2 ¿De qué manera la gestión de parches y La gestión del cambio de TI proporciona el acelerador, el
cambios de TI ayuda a controlar los riesgos pedal de freno y el volante (y una marcha atrás para volver a
y los costos de TI? las configuraciones anteriores) para controlar el vehículo de
Los riesgos de TI de cualquier tipo se pueden ver exacerba- TI a través de:
dos por una gestión del cambio de TI ineficaz. En oposición,
1
“Microsoft responsabiliza a los técnicos por la interrupción masiva del servicio”, CNET News, 24 de enero de 2001
4
2
“RBC adjudica la culpa a errores humanos”, GLOBEANDMAIL.com, 10 de junio de 2004.
• La participación temprana y frecuente por parte de la Se deben informar las medidas más rigurosas y formales
dirección y de los usuarios finales para alinear los cam- para proporcionar la máxima visibilidad sobre la eficacia de
bios de TI con las necesidades del negocio. la gestión de parches y cambios de TI, entre ellos:
• Un proceso definido, predecible y repetible con resul- • Cambios autorizados por semana.
tados definidos, predecibles y repetibles. • Cambios implementados por semana.
• Coordinación y comunicación con los participantes • Cantidad de cambios no autorizados que soslayan el
afectados por los cambios. proceso del cambio.
• Tasa de éxito del cambio (porcentaje de los cambios
2.4 ¿Cómo saber si la gestión de parches y reales efectuados que no ocasionaron interrupciones,
cambios de TI funciona eficazmente? deterioro de servicios o un episodio de trabajo no pla-
Como guía general, la dirección (incluida la gestión de TI) nificado).
puede verificar si la gestión de parches y cambios está dando • Cantidad de cambios de emergencia (incluidos los par-
resultados mediante la formulación de una serie de preguntas ches).
simples y el análisis de las respuestas: • Porcentaje de parches implementados en las versiones
• ¿Tenemos un proceso de gestión del cambio eficaz? de software planificadas.
¿La respuesta es una negación de la importancia de la ges- • Porcentaje de tiempo empleado en trabajo no planifi-
tión del cambio de TI o una afirmación de su importancia cado.
y reconocimiento de las mejoras en curso? • Porcentaje de proyectos entregados más tarde de lo
• ¿Qué controles se han adoptado en nuestro proceso planificado.
de gestión del cambio?
¿Los controles se han puesto en práctica y se mejoran día 2.5 ¿Qué debería hacer auditoría interna?
a día o simplemente están en evaluación y se aplaza su Esta Guía de Auditoría de Tecnología Global (GTAG) trata
incorporación hasta que la situación de emergencia pase? sobre la gestión de los riesgos que son una preocupación cre-
• ¿Hemos visto los beneficios del proceso de gestión del ciente de aquellas personas implicadas en el control y goberna-
cambio? bilidad del proceso. Al igual que la seguridad de la información,
¿Hay beneficios medibles o el énfasis está centrado en los la gestión de los cambios de TI es un proceso fundamental que,
costos del proceso de gestión del cambio de TI? de no efectuarse correctamente, puede ocasionar daños a toda
• ¿Recuerda la interrupción que afectó a todo el sitio la empresa. Este impacto a nivel de toda la empresa hace que
durante la semana pasada como consecuencia de un el tema sea de interés para la mayoría de los comités de audito-
cambio? ¿Qué pasó? ría y, en consecuencia, para la alta dirección.
¿Cuánto sabe la dirección acerca de las causas de las inte- Esta guía proporciona herramientas para ayudar a los
rrupciones? ¿Cuál es el grado de control que tiene la auditores internos a obtener y evaluar las evidencias de que las
dirección respecto a la recurrencia del problema? aseveraciones de la gestión de TI (desempeño, eficacia, efi-
• ¿Qué proceso se utilizó para determinar la causa de la ciencia) son correctas. Al igual que en el proceso de una audi-
interrupción? toría3 financiera, los auditores de TI deben obtener los datos
¿Fue de tipo ad hoc o metódico? ¿El diagnóstico del pro- subyacentes de autorización (por ejemplo, informes del cam-
blema determinó rápidamente si la interrupción fue causa- bio autorizado) y la infor--mación que sirve de respaldo y evi-
da por un cambio, y de ser así, qué cambio provocó el dencia los hechos (por ejemplo, informe de los cambios de
problema? producción a partir de los controles de detección, cotejo de los
• ¿De qué manera TI controla el estado de salud del cambios de producción con los cambios autorizados, las inte-
proceso? rrupciones de sistema, etc.). Al hacer esto, los auditores pue-
¿Los indicadores y medidas son elementos indicativos obje- den expresar de manera competente una opinión sobre las
tivos y verdaderos o son subjetivos y sospechosos? aseveraciones de la gestión de TI respecto a sus procesos de
• ¿Cuál es la meta de nuestro proceso de gestión del gestión del cambio y su capacidad de mitigar el riesgo en los
cambio? estados financieros.
¿Se centra en factores de fiabilidad, disponibilidad y efi- La auditoría interna puede ayudar a la dirección y al con-
ciencia, o en otras metas menos cruciales? ¿En ese aspec- sejo de administración implementando las siguientes accio-
to, está realmente centrado en algo? nes:
• ¿Nuestro proceso de parches qué grado de interrupcio- • Comprender los objetivos de la organización relaciona-
nes ocasiona? dos con la confidencialidad, integridad y disponibilidad
¿La gestión de parches es parte de un proceso de lanza- del procesamiento de TI.
mientos y cambios definido y repetible, o es del tipo ad • Ayudar a identificar los riesgos que pueden surgir a par-
hoc, informal y basado en emergencias? tir de los cambios y determinar si tales riesgos son cohe-
Las investigaciones recientes sugieren que las organizaciones rentes con el grado de apetito de riesgo y tolerancia de
que tienen mejores procesos de gestión de parches y cambios la organización.
de TI necesitan menos administradores de sistemas. Cuando • Ayudar en la toma de decisión en cuanto a elegir una
la gestión de parches y cambios de TI funciona bien, el per- cartera apropiada que responda a la gestión de riesgos.
sonal de TI es más eficaz y productivo. • Buscar e impulsar una cultura de gestión de cambio dis-
5
3
Adaptado del libro de Auditoría de Montgomery: 12ª edición, Capítulo 1: “Resumen de Auditoría” [O'Reilly 98]
ciplinada, incluida la promoción de los beneficios de creencias y enfoques.

una buena gestión de cambio. ¿Por qué un diálogo? El Dr. Eliyahu Goldratt adquirió pro-
• Comprender los controles que son cruciales para un tagonismo en 1980 por su trabajo sobre la teoría de las restric-
enfoque sólido de la gestión del cambio de TI. ciones, que es uno de los tres movimientos de gestión clave de
– Preventivos. esta década. (Los otros dos sistemas de gestión y de resolución
• Autorizaciones apropiadas. de problemas son la Gestión de Calidad Total del Dr. W.
• Separación de funciones. Edward Deming y las metodologías de fabricación, como Justo
• Supervisión. a Tiempo). Probablemente el Dr. Goldratt sea más famoso por
– De detección. su libro The Goal: A Process of Ongoing Improvement [Goldratt
• Detección de cambios no autorizados. 92], donde el protagonista es un gerente de planta que inten-
• Monitorización de las mediciones de la gestión ta aumentar la calidad y disminuir el costo antes del cierre de
del cambio objetivo y válido.. la planta en 60 días. Su libro ha vendido millones de copias y
– De corrección. se utiliza en cientos de cursos universitarios de todo el mundo.
• Revisiones posteriores a la implementación. Este diálogo está inspirado en The Goal.
• Alimentación de información del cambio durante
los primeros pasos de diagnóstico del problema. 2.6.1 La convicción de Silvia en su plan de gestión
• Mantener actualizados los procesos de gestión de par- de parches se hace añicos
ches y cambios de TI y recomendar su adopción a la Hace una semana, a Silvia la ascendieron de Directora de
organización. Operaciones a Directora de TI (DTI). Debe afrontar los
• Demostrar de qué manera la dirección puede cosechar desafíos de abordar no sólo todos los problemas de disponibi-
los beneficios provenientes de una mejor gestión del lidad y competitividad de costos de TI, sino también los
riesgo, del mayor grado de eficacia y de los menores cos- molestos problemas de seguridad. Hay abundantes rumores
tos. de que toda su división será externalizada.
• Ayudar a la dirección a identificar enfoques prácticos y Silvia está esperando para entrar a la reunión de comité
eficaces en relación con la gestión del cambio de TI. de auditoría. Fernando, DEA, también está esperando junto
a ella. Fernando se unió a la empresa hace seis meses y pro-
2.6 Un diálogo esclarecedor entre un Director viene de una conocida firma de telecomunicaciones global.
de TI (DTI) y un Director Ejecutivo de Silvia se pregunta si debería aprovechar esta oportunidad
Auditoría (DEA) para conocer más a Fernando. Desarrollar una relación de
Uno de los desafíos para un gobierno y auditoría de TI efica- trabajo de respeto mutuo podría mejorar su función DTI.
ces es realizar buenas preguntas que revelen de qué manera Silvia abrió el diálogo diciendo “Fernando, estoy poco
los gerentes de TI piensan y verifican que las estrategias y las nerviosa por la reunión. Esta es mi primera actualización
tácticas de TI respondan a los objetivos del negocio. Con sobre el estado del programa de seguridad de la información
frecuencia, las conversaciones se centran en las tecnologías de la empresa”. Fernando es un veterano en el tema dadas sus
más que en los procesos de control y gestión para implemen- numerosas interacciones con el comité de auditoria y de
tar y sostener esa tecnología, y operarla de manera eficiente. inmediato siente simpatía por Silvia y su preocupación.
Muchos ven la gestión del cambio como una burocracia “No te preocupes. Si puedes definir tus metas con clari-
innecesaria, y no como una herramienta que posibilita el logro dad y describir lo que necesitas para alcanzarlas, estoy seguro
de las metas del negocio. Además, muchas organizaciones de de que no habrá ningún problema. No te dejes intimidar por
TI confunden a las tecnologías del tipo de los sistemas de soft- la reputación del comité de auditoría. He estado en ambos
ware de gestión de parches como si fueran el sustituto de un lados de la mesa y me parece que estas personas son muy pro-
proceso de gestión saludable. Si bien el software de gestión de fesionales, competentes y agradables”.
cambio puede automatizar los controles para ayudar a asegurar “¿De veras? Entiendo que te incorporaste a la empresa a
la aplicación del proceso de gestión del cambio, el sólo hecho principios de año y que provienes de ABC Telecom. ¿Estabas
de tener el software no proporciona los resultados necesarios. a cargo de la auditoría interna allá?”, pregunta Silvia.
Los ejecutivos de auditoría de rango superior pueden “No, mi experiencia en realidad incluye algunos perío-
proporcionar orientación y asesoramiento a los gerentes de dos en TI y en auditoría financiera e investigación de frau-
TI sin profundizar en detalles técnicos que desvían la aten- des”, responde Fernando. “Considérame como una persona
ción de la pregunta real: ¿Nuestros procesos de gestión del cam- de negocios que trabaja en auditoría interna”.
bio son eficaces y estamos llevando a cabo las actividades Al escuchar esto, Silvia se siente de inmediato más tran-
correctas de TI basadas en el cambio? quila. ¡Tenemos antecedentes similares! “Entonces, conoces
Para mostrar con qué rapidez el director ejecutivo de los temas que debo afrontar. ¡Eso es un verdadero alivio!
auditoría puede determinar la salud de los procesos de ges- Sabes por lo que estoy pasando. Ya hemos logrado salir del
tión del cambio de TI, incluimos un diálogo ficticio entre apuro de cerrar los baches existentes en la seguridad de la
Silvia, quien recientemente tomó su nuevo puesto de traba- información Mi idea es contarles lo que hemos estado
jo como DTI de una de las empresas Fortune 500 (DTI), y haciendo para aplicar los parches con más rapidez y reducir
Fernando, el DEA. El diálogo ilustra cómo las suposiciones las vulnerabilidades ante gusanos y virus. Antes de ser desig-
erróneas se evidencian incluso en los gerentes de TI de rango nada DTI tuve a mi cargo la tarea de desarrollar nuestro
superior y cómo estas suposiciones se pueden cuestionar con nuevo sistema de gestión de parches”.
eficacia para provocar cambios drásticos en sus sistemas de Fernando duda. “¿Te pareció que era necesario un siste-
6
ma totalmente nuevo para ayudarte a administrar los par- “Bueno, tal vez, pero estoy segura de que con el tiempo,
ches?” podremos resolverlo”, responde Silvia, un poco a la defensiva.
“Sí”, contesta Silvia. “Hemos estado trabajando en esto “¿Todo este trabajo no planeado tiene un impacto sobre
durante seis meses para solucionar un problema detectado en tu disponibilidad, verdad?”, continúa Fernando.
una auditoría y reducir nuestra carga de trabajo”. Ajá. Fernando mencionó el asunto de la disponibilidad.
Verdaderamente se logró mejorar la eficiencia y la seguridad. Ese es un punto definitivamente sensible. Silvia recuerda las
Nunca más se nos pasará un parche importante”. reuniones de confrontación con distintos gerentes de unida-
Fernando frunce el ceño. “Ah, la verdad es que no des de negocio a quienes les impactó el tema del fallo de
muchas veces escucho algo así. Permíteme preguntarte esto: algunos parches. “Bueno, cierto que sí, en algún grado. Pero,
¿cuándo es aceptable no implementar un parche?” ¿hacia adónde apuntas con todo esto?”
Ahora es Silvia la que comienza a fruncir el ceño. Fernando hace caso omiso de su pregunta. En cambio,
Fernando parecía una persona muy inteligente, pero sus pre- pregunta, “¿Y este sistema de gestión de parches resolvió las
guntas son bastantes extrañas. Silvia responde, “Bueno, en observaciones realizadas por auditoría? Mi informe para el
realidad, ¡nunca! Justamente, la omisión de parches es exac- comité de auditoría de hoy señala que la fecha de finaliza-
tamente lo que nos valió la observación de auditoría en pri- ción del objetivo en tu plan de acción se sigue postergando
mera instancia. Mi meta es asegurarnos de que siempre cada día”.
implementemos los parches tan pronto como sea posible. ¡Al Transcurren unos instantes durante los cuales Silvia
fin y al cabo, nuestra tarea es asegurarnos de que estos servi- trata de pensar una respuesta. En una voz tan confidente
dores son seguros! No solamente vamos a tener más seguri- como le es posible, responde “Bueno, no, esas observaciones
dad, sino que además seremos más eficientes”. de auditoría no se han resuelto todavía, pero nos hemos
Fernando parece algo exasperado. “¿De veras? ¿Estás comprometido a hacer que el sistema funcione”.
implementando tecnología de gestión de parches y obtienes
realmente un grado mayor de eficiencia?” 2.6.2 Fernando saca conclusiones según los hechos
“Rotundamente. Ya hemos obtenido excelentes resulta- “Silvia, imagino que si no has aumentado la disponibilidad ni la
dos. En realidad, recientemente hemos alcanzado el hito de seguridad, no has disminuido el gasto operacional, y en realidad
cobertura de servidores del 60%”. estás generando más trabajo no planeado, entonces no me pue-
“¿Y pudieron aumentar la eficiencia… en qué grado?”, des decir que estás incrementando el grado de eficiencia”
pregunta Fernando. “Es más, es muy probable que estés acelerando la tasa de
“Bueno, no tengo todos los detalles, pero sé que el retor- cambio al implementar parches sin aumentar la tasa de
no de la inversión es importante”. Silvia busca en su maletín éxito, por lo tanto, tu cantidad de trabajo no planeado se
y con orgullo le muestra a Fernando el informe de una pul- debe estar incrementando sideralmente. Adivino que los
gada de espesor. “Aquí está. Al automatizar el proceso de gerentes de unidades de negocio estarán tan molestos que
parches, estaremos ahorrando entre 300 y 600 horas del per- piden a gritos la desconexión del sistema completo”.
sonal por mes”. Anonadada, Silvia se pregunta para qué inició esta con-
Fernando mira el informe, pero no lo toma. “¡Increíble, versación con Fernando. Iba a presentar con orgullo su plan
600 horas de personal por mes! Ese ahorro equivale a más de de gestión de parches y ahora ni siquiera está segura de que
tres empleados a tiempo completo. ¿Entonces, estás redu- eso sea una buena idea.
ciendo el número de trabajadores en tres personas gracias a “Fernando, ¿cómo sabes esas cosas? Ojalá pudiéramos
todo ese ahorro de mano de obra?” tener más tiempo porque pareciera que has puesto tu dedo en
“¡Ojalá fuera así! Siempre tenemos un cúmulo de traba- uno de mis mayores problemas”.
jo atrasado porque no tenemos personal suficiente. “Opino lo mismo. Si tuviéramos un poco más de tiem-
Permanentemente hay nuevos proyectos, y ni siquiera men- po, me parece que podría ayudarte a mantener el trabajo de
cionemos las constantes emergencias por roturas y correccio- TI dentro de la empresa y salvar tu nuevo puesto”.
nes que nos exigen dejar lo que estemos haciendo para correr “¡Un momento! Mi organización no está en apuros. Con
a reparar la catástrofe del día. Esa es justamente la razón por un software tan deficiente como el que tenemos hoy, es nece-
la que necesitamos automatizar todo”. sario automatizar el proceso de parches para mantener la
Fernando se reclina y se sonríe como si hubiera confir- infraestructura segura. El negocio sigue imponiéndonos
mado una sospecha. Silvia se siente algo insegura. Fernando demandas totalmente insanas sin comprender los temas de
pregunta, “¿Qué están haciendo exactamente en este instan- TI o seguridad".
te esas dos personas que completaron la implementación?” “Silvia, para mí, es evidente que no estás ejecutando
“Bueno, como dije, se están ocupando de diversos proble- una operación de TI segura y eficiente. En realidad, proba-
mas que varían de emergencias operacionales a desafíos impre- blemente estés gestionando una operación ineficiente e inse-
vistos relacionados con el sistema nuevo. Con frecuencia, nos gura. Si el comité de auditoría comienza a realizar preguntas,
topamos con parches que no se aplican correctamente la pri- esto se hará evidente y tal vez perciba que no estás adminis-
mera vez y siempre hay algunas cuestiones residuales que debe- trando los riesgos correctamente. Según esta breve conversa-
mos corregir manualmente. Estos problemas se resolverán una ción, creo que hay determinados problemas sistémicos de
vez que logremos establecer el proceso”. control del cambio de TI. Mi parecer es que no tienes los
“¿Entonces, estás diciendo que la tasa de éxito inicial del controles preventivos, de detección y corrección que necesi-
sistema es relativamente baja?”, pregunta Fernando. tas para aplicar la separación de roles adecuada y los contro-
les de supervisión eficaz.”
7
“¿Me estás diciendo que mi gente me miente?”

“En general, la gente rara vez miente acerca de estas
cosas. Sin embargo, tus mediciones ciertamente sí. Cuando
hablas de eficiencia, me parece que no has comprendido
bien el punto central del tema. Es necesario que pienses
acerca de este asunto un poco más. Las próximas dos sema-
nas, estaré afuera de viaje, pero, si lo deseas, puedes llamar a
mi asistente y concertar una cita para que hablemos de esto”.
Luego, Fernando se levanta e ingresa a la sala de conferen-
cias.
Más tarde, llaman a Silvia para que ingrese a la reunión
y con éxito presenta el plan de seguridad de la información
y los logros ante el comité de auditoría. En 15 minutos, fina-
liza y regresa a su oficina.
“¿Qué fue lo que pasó?, se pregunta Silvia. Antes de su
conversación con Fernando, la gestión de parches era el cen-
tro de su plan y anhelaba utilizar el éxito de esta para demos-
trarles a todos cuán competente era. Pero después de su
conversación con Fernando, su confianza se había desmoro-
nado de tal manera que en su presentación ante el comité de
auditoría sólo mencionó la gestión de parches muy breve-
mente. Y lo peor de todo era que no podía ver qué era lo que
estaba mal.
Silvia admite para sí misma que su implementación del
sistema de gestión de parches no está funcionando según lo
planeado. La fecha de finalización del proyecto se demora
cada día más. Se pregunta cómo Fernando pudo saber que el
proyecto estaba comenzando a desviarse de la meta ¿Qué
quiso significar Fernando cuando dijo que ella no había
entendido bien y que no estaba gestionando el asunto
correctamente?
El resultado de este diálogo se encuentra en la Parte 5,
página 25.
8
GTAG — ¿Por qué debo interesarme en cómo
la organización gestiona el cambio? — 3
Los auditores internos y los profesionales de TI tienen toría para ayudar a nuestras organizaciones a administrar las
amplia información sobre las disciplinas informáticas opera- inversiones de TI con mayor grado de eficiencia y eficacia.
tivas de gestión del cambio y control del cambio. Estos pro-
cesos ha sido bien definidos en publicaciones que se 3.1 El cambio genera riesgos: por qué los
remontan a Computer Control and Audit de Mair, Wood & parches deben ser tratados simplemente
Davis [Mair 73] y otras. El Instituto de Auditores Internos y como otro cambio
su publicación, Systems Auditability and Control, de 1977 Los auditores saben que existe una relación estrecha entre el
marcaron un hito. Esta fue actualizada en 1994 y refleja ade- cambio y el riesgo. Los activos de TI parecen estar en un
cuadamente la importancia de este tema para la direción de estado de cambio constante. La gestión de TI debe tratar con
las organizaciones y los auditores internos. lo siguiente:
La gestión del cambio y del problema es crítica para • Cambios regulares (por lo general, aplicaciones, soft-
alcanzar una operación estable, confiable y bien con- ware intermedio, sistema operativo, software de la red
trolada. Implica rastreo del problema, procedimientos y actualizaciones de hardware programadas para la
de escalamiento, revisión de los problemas y cambios implementación).
de la gestión, establecimiento de un orden de priori- • Parches (cambios para reparar códigos defectuosos u
dad de recursos, movimiento controlado de programas otras vulnerabilidades detectadas en producción).
en producción, y control del cambio de software de • Cambios de emergencia necesarios para corregir pro-
sistemas. blemas inmediatos que provocan la interrupción del
Sin embargo, sólo recientemente se han realizado esfuerzos servicio.
para entender cuáles son las prácticas y condiciones de La gestión del cambio de TI eficaz permite que la organiza-
entornos de TI que impulsan resultados comerciales. La ción se pueda mover con seguridad de un estado conocido y
nueva investigación publicada por el Instituto de Ingeniería definido a otro, independientemente de la razón que motive
de Software y el Instituto de Procesos de TI en 2004 muestra un cambio.
que una de las diferencias clave que definen el alto o el bajo Los activos de TI son más fáciles de administrar y con-
rendimiento de las organizaciones de seguridad y TI es la pre- trolar cuando no existe la presión de implementar o entregar
sencia de una cultura eficaz de la gestión del cambio. En el cambio. Por ejemplo, considere las características positi-
otras palabras, la gestión del cambio no sólo es un control vas asociadas con los períodos de congelación del cambio: los
básico clave, sino que también ofrece potenciales beneficios niveles de servicio y disponibilidad son los más altos, y el
para el negocio. departamento de TI emplea la mayor parte de su tiempo en
El informe titulado Best in Class Security and Operations trabajos planeados.
Round Table Report (BIC SORT) [Allen 04], reproduce algu- Sin embargo, ¿qué ocurre cuando se detectan vulnerabi-
nas de las diferencias que hay entre los departamentos de lidades críticas y se incrementa el nivel de urgencia del cam-
seguridad y de TI de alto y bajo rendimiento. El informe des- bio? ¿Qué sucede cuando los numerosos proveedores con
cribe los problemas y las inquietudes principales, los procesos quienes usted trabaja lanzan parches regularmente para repa-
y procedimientos resultantes utilizados para responder a rar fallos críticos? Según PricewaterhouseCoopers [PWC 04],
ellos, así como los sistemas de creencias y la cultura que sos- el volumen puro de cambios está en aumento, lo cual puede
tiene a tales procesos y procedimientos. Con esta visión, los tener un impacto significativo en la estrategia de la gestión
autores descubrieron cómo se comportaban las organizacio- de TI para administrarlos:
nes de alto y bajo rendimiento, tanto cuantitativa como cua- La aplicación y el software de sistema operativo contienen
litativamente. un gran número de errores y vulnerabilidades que quedan
En las organizaciones de bajo rendimiento, la gerencia por descubrirse más allá de las fechas de lanzamiento ori-
no puede confiar en la gestión del cambio de TI para respal- ginales. En 1999 se informó sobre 417 vulnerabilidades
dar su negocio adecuadamente. Exacerbando este punto, las de software, según el Centro de Coordinación 4 CERT®
organizaciones que carecen de una disciplina de gestión del de la Universidad Carnegie Mellon. Para 2003, la canti-
cambio, tampoco tienen mediciones rigurosas y visibilidad. dad de vulnerabilidades reportadas había ascendido a
La gerencia y la auditoría interna, respecto a eso, no tiene 3.784 o a aproximadamente 73 [nuevas] vulnerabilida-
ninguna manera confiable de evaluar con exactitud la efica- des por semana.
cia y eficiencia del proceso de gestión del cambio. Cuando el En el taller de BIC SORT, muchos participantes identifica-
aseguramiento de los controles del cambio que respaldan un ron como problema crítico el volumen de parches urgentes a
proceso de negocios se ve suficientemente socavado, el ser aplicados en la infraestructura operativa y la ausencia de
mismo proceso del negocio también se ve socavado. En con- un proceso de gestión eficaz para administrarlos. Sin embar-
traste, las organizaciones de gestión del cambio de IT de alto go, el contraste entre cómo las organizaciones de alto y bajo
rendimiento pueden proporcionar información centrada y rendimiento percibieron y respondieron a este problema fue
exacta para ajustar su propio desempeño, y para permitir a la notable. Las organizaciones de alto rendimiento implemen-
gerencia y a los auditores evaluar el proceso de gestión del taron parches en su infraestructura con una frecuencia
cambio junto con la capacidad de respaldar los procesos del mucho menor que las de bajo rendimiento. Más esclarecedo-
negocio afectados. ra aún resultó la comparación de los sistemas de creencias
Como auditores internos, debemos familiarizarnos con que guiaron a la gestión de TI cuando se tomaron las decisio-
este tipo de información y aplicarla en las revisiones de audi- nes respecto a parches.
9
4
CERT® es marca registrada en la Oficina de Patentes y Marcas Registradas de EE. UU. por la Universidad Carnegie Mellon.
En las organizaciones de bajo rendimiento la implemen- detección y corrección, así como una clara definición y sepa-
tación de parches se caracteriza como de tipo ad hoc, caótica ración de los roles. Los controles de gestión del cambio permi-
y urgente. La disponibilidad de un parche para solucionar una ten a la gerencia afrontar nuevos requerimientos (como
vulnerabilidad de seguridad crítica puede ocasionar interrup- nuevos proyectos de desarrollo y nuevas regulaciones guberna-
ciones y a menudo da como resultado cantidades significativas mentales) sin tener que aumentar los recursos. Por lo general,
de recursos que se redireccionan desde trabajos planeados para la gestión del cambio eficaz mitiga el riesgo, disminuye el costo
solucionar el parche no planeado. Y lo que es peor aún, inclu- y proporciona recursos para servicios adicionales.
so la implementación exitosa del parche puede provocar pro- En oposición, la gestión del cambio ineficaz genera un ries-
blemas no deseados, como el caso de servidores que se tornan go alto. En la mayoría de las organizaciones no se trata de si exis-
no funcionales y, por lo tanto, no disponibles para entregar te o no un proceso de gestión del cambio, se trata de si el proceso
servicios críticos. Una investigación de directores de seguridad es tan eficaz y eficiente como es posible y si se utiliza para todos
de la información (en inglés, CISO) pertenecientes al gobier- los cambios de TI. Al implementar los cambios de emergencia es
no federal de EE.UU., realizada por Intelligent Decisions e extremadamente difícil evitar errores, irregularidades e interrup-
informada por InformationWeek [Hulme 04] calificó la inquie- ciones no buscadas. Las interrupciones en cuanto a disponibili-
tud de sostener la gestión de parches en el máximo nivel como dad de TI (que a su vez da como resultado un servicio de baja
el problema más grande a afrontar. calidad y la insatisfacción del cliente) a menudo impulsa a las
La gestión de parches se ubicó en tan alta jerarquía porque organizaciones a considerar e implementar procesos de gestión
afecta a todas las partes de la infraestructura y hay tantos de cambio y controles. Las investigaciones señalan que los depar-
parches que se lanzan habitualmente que a todos les preo- tamentos de TI de alto rendimiento están continuamente bus-
cupa poder seguirles el ritmo. cando formas de mejorar sus procesos operativos, incluida la
En contraste, las organizaciones de alto rendimiento conside- gestión del cambio. Al mejorar el control y la predecibilidad de
ran al nuevo parche como un cambio planeado y predecible los cambios en los sistemas y las redes, su departamento de TI
en el proceso normal de gestión del cambio. El parche se agre- estará encaminado a convertirse en una organización de primer
ga a la cola de “candidatos a la ingeniería de liberación”, nivel. Los auditores internos están en la posición ideal para ayu-
donde se evalúa, se prueba y se integra a una implementación dar a la gerencia a mejorar estos procesos y controles.
de liberación ya programada. Al seguir un proceso bien defini-
do para integrar los cambios, se alcanza una tasa de éxito del Si el departamento de TI no puede describir todos los cambios
cambio mucho más alta. Resulta interesante observar que gran y sus estados actuales, tampoco podrá describir lo que está
parte de las organizaciones de alto rendimiento aplican par- administrando o si los cambios están funcionando según lo
ches mucho menos frecuentemente que las de bajo rendimien- planeado.
to, a veces en una proporción de una o dos órdenes de
magnitud. Las de alto rendimiento ven al riesgo de la exposi- Aunque resulta fácil hablar de la gestión del cambio, esta es
ción de vulnerabilidad menor que el riesgo de disponibilidad una de las disciplinas más difíciles de implementar. Requiere
debido a impactos no anticipados de un cambio erróneo o de la colaboración entre un equipo interfuncional de progra-
fuera de ciclo. En oposición, las organizaciones de alto rendi- madores de aplicaciones, el personal de operaciones, los
miento que optan por implementar un parche como un cam- auditores y las personas del negocio cuyo enfoque sea los ser-
bio de alta prioridad tienen la capacidad de hacerlo de una vicios punto a punto. Es importante destacar que cada grupo
manera predecible y repetible a través del uso de un proceso tiene un rol específico a desempeñar y que estos roles deben
de gestión del cambio eficaz. estar definidos en los procedimientos de gestión del cambio.5
Los auditores internos son expertos en dibujar diagramas
Las organizaciones de alto rendimiento aplican parches de flujo de los procesos del negocio y en evaluar los contro-
mucho menos frecuentemente que las de bajo rendimiento, a les. Están en la mejor posición para ayudar a sus organizacio-
veces en una proporción de una o dos órdenes de magnitud. nes a ver los beneficios de mirar los procesos clave desde una
perspectiva global.
Dada esta visión y durante la duración de esta guía, tratamos El departamento de TI debe tener la capacidad de eva-
los parches como una categoría o clase de cambio que está luar e informar el estado de todos los cambios en todo
sujeta al proceso normal de gestión del cambio. Así emergen momento. Los procesos de gestión del cambio eficaz propor-
dos inferencias clave: la gestión de parches es una función cionan la información y el aseguramiento necesarios para
subordinada a la gestión del cambio y a menudo, un proceso realizar el seguimiento de todos los cambios en sus diversos
de gestión del cambio eficaz puede ayudar a asegurar que las estados de consumación.
tecnologías utilizadas para solucionar el problema de tipo Por último, las metas para administrar mejor los cambios
“implemente el parche y cruce sus dedos” no creen proble- de TI de una organización son reducir el riesgo (aquel prima-
mas adicionales. riamente asociado a la incapacidad de ejecutar las funciones
del negocio a causa de la inactividad por una falla), reducir el
3.2 Ya tenemos un proceso de gestión del trabajo no planeado (en consecuencia, se liberan recursos res-
cambio ¿Cuál es la diferencia aquí? tringidos), eliminar resultados no deseados (ocasionados por
Un aspecto clave de la gestión eficaz es que la organización errores u omisiones) y mejorar la calidad del servicio para
tiene controles amplios, bien definidos, preventivos, de todos los clientes internos y externos.
5
En el Apéndice A, Cuadro 4 (página 38) se describen algunos roles a modo de ejemplo. Además, una organización debe asegurarse de que las funciones
de los participantes del proceso estén separadas correctamente (Cuadro 5, página 38).
10
3.3 ¿Cómo puede ayudar un proceso robusto En el documento guía, Enfoque para evaluar excepciones y
de gestión del cambio? deficiencias de control [BDO 04], las deficiencias observadas
Las solicitudes del cambio surgen como respuesta a un deseo en los controles informáticos en general, como la gestión del
de obtener beneficios para el negocio, como reducir costos o cambio, se deben evaluar en relación con su efecto sobre los
mejorar los servicios, o a partir de la necesidad de corregir controles de aplicación. En particular, la debilidad del control
problemas. La meta del proceso de gestión del cambio es sos- general de TI (en inglés, ITGC) se clasifica como una “debi-
tener y mejorar las operaciones organizacionales. Esto se logra lidad material” si ocurre uno o más de los siguientes:
asegurando que se utilicen métodos y procedimientos estan- • Una debilidad de control de aplicación causada por una
darizados para el manejo eficaz y eficiente de todos los cam- debilidad de ITGC, o relacionada con esta, se clasifica
bios y minimizando el impacto de los incidentes relacionados como una debilidad material.
con el cambio sobre la calidad y la disponibilidad. • La generalización y la importancia de una debilidad de
Para proteger el entorno de producción, los cambios se ITGC conduce a la conclusión de que hay una debili-
deben administrar de manera repetible, definida y predecible. dad material en el entorno de control de la organiza-
Se debe prestar especial atención para asegurarse de que los ción.
cambios realizados para corregir una aplicación, servidor o dis- • Una debilidad ITGC clasificada como deficiencia sig-
positivo de red no introduzcan problemas no deseados. Esto es nificativa permanece sin corregirse después de un perí-
particularmente importante en el caso de los activos de TI odo razonable de tiempo.
(software, hardware, información) que respaldan los procesos y El año pasado, muchas organizaciones observaron serias defi-
los repositorios de datos críticos del negocio de la empresa. ciencias asociadas con la gestión del cambio de los controles
Los procesos de gestión del cambio sólidos ayudan tam- generales de TI que rodean un sector del entorno de prepara-
bién a que la organización pueda sostener el cumplimiento ción de reportes financieros. Si esto sigue sin corregirse en el
permanente con las nuevas y amplias regulaciones. Las acti- presente año, estas organizaciones estarán en riesgo. Los audi-
vidades que abordan el impacto potencial de los cambios en tores internos pueden ayudar a la gerencia identificando estos
el cumplimiento regulatorio deben incluirse dentro de los problemas y colaborando para que ella se asegure de que estos
pasos de aprobación del proceso de cambio para la unidad de sean corregidos de manera oportuna.
negocios y la gestión del riesgo. Por ejemplo, se debe prestar Un modelo de aceptación general para evaluar los con-
atención cuando se implementan cambios en la tecnología troles internos es el titulado Control interno - Marco integrado,
que respalda el proceso de preparación de reportes financie- publicado por el Comité de Organizaciones Patrocinadoras de
ros para asegurar el cumplimiento constante con la Ley la Comisión Treadway - (COSO) en el año 1992. En 2004,
Sarbanes-Oxley. De la misma manera, puede ocurrir que los este modelo fue mejorado para proporcionar un marco de ges-
cambios en el manejo de la información de identificación tión de riesgo empresarial aceptado, que incluya principios
personal en Europa hagan que se incumplan las directivas de clave, conceptos, un lenguaje común respecto a riesgos y una
privacidad de la Unión Europea. guía clara para la implementación. Esta nueva orientación
Los procesos de gestión del cambio eficaz se deben docu- titulada Gestión de Riesgo Empresarial - Marco Integrado
mentar para reducir el esfuerzo constante necesario para tra- [COSO 04], proporciona cuatro categorías de objetivos orga-
zar el mapa, validar y certificar los cambios en el proceso de nizacionales y ocho componentes interrelacionados de ges-
preparación de reportes para respaldar el cumplimiento con la tión de riesgo eficaz. En la Figura 16 (página 12) se incluye
Ley Sarbanes-Oxley. En el Artículo 404 de la Ley, se exige una ilustración de cómo se puede aplicar el modelo COSO a
que la gerencia valide y evalúe los controles sobre los proce- la gestión del cambio.
sos de preparación de reportes, incluidos los controles de TI. La organizaciones de alto rendimiento generalmente tie-
Los cambios sin control en el entorno de producción pueden nen una visión positiva de los controles. El caso concreto es
conducir a errores que, si son generalizados o críticos, se que los procesos eficaces de gestión del cambio reducen el
podrán considerar como deficiencias importantes que se riesgo de convertirse en una organización de bajo rendimien-
deben reportar al comité de auditoría. Se requiere que las to y provocan menos problemas que, a su turno, deban ser
deficiencias más serias denominadas “debilidades materiales” resaltados por el contador público externo (auditor de cuen-
en el mundo del contador público, sean divulgadas pública- tas), el organismo de control equivalente o la autoridad revi-
mente por las empresas a través de presentaciones ante la sora. Como resultado, la empresa tiene un Comité de
Comisión de Valores de EE. UU. (SEC). Las revelaciones Auditoría más satisfecho y se reduce la presión sobre la geren-
públicas de las deficiencias pueden afectar la reputación, el cia del departamento de TI. Por lo general, un Comité de
precio de las acciones y la capacidad de la organización para Auditoría satisfecho trae aparejado que todos estén más feli-
permanecer en el negocio. ces, el máximo ejecutivo (CEO), el director financiero
(CFO), el DTI y el DEA. Por último, las organizaciones que
El Artículo 404 de la Ley Sarbanes-Oxley requiere que la tratan los controles de gestión del cambio como posibilitado-
gerencia valide los controles de TI. Los cambios sin control res de conducta comercial eficaz son más exitosas. El punto
en el entorno de producción pueden conducir a deficiencias y clave a recordar es que la gestión del cambio se centra en el
debilidades materiales serias. proceso con un enfoque administrador y humano que está res-
paldado por controles técnicos y automáticos.
6
Extraído de “Enterprise Risk Management-Integrated Framework” de COSO, septiembre 2004. El resumen ejecutivo está disponible en
http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf.
11
Figura 1: Modelo COSO ERM para la gestión del cambio
MONITORIZACIÓN
INFORMACIÓN Y COMUNICACIÓN
ACTIVIDADES DE CONTROL
RESPUESTA AL RIESGO
EVALUACIÓN DE RIESGO
IDENTIFICACIÓN DEL EVENTO
DETERMINACIÓN DE OBJETIVOS
ENTORNO INTERNO
Monitorización proceso (no deseados o no autorizados).
• Mediciones de desempeño y análisis de cambio • El personal de TI comprende cabalmente los ries-
mensuales proporcionados al Director de TI gos provocados por el cambio.
(CIO). • Se realiza una evaluación completa del riesgo de
• Auditorías del proceso de gestión del cambio rea- todos los cambios propuestos.
lizadas por la auditoría interna. • Planificación de la continuidad de negocio
• Autoevaluación de control anual (en inglés, implementada.
CSA) realizada por las unidades de negocio y el • Se realiza la evaluación de auditoría interna.
Departamento de TI. • El seguro del negocio necesita que se realice una
• Informes periódicos de la dirección de gestión del evaluación.
cambio proporcionados a la alta dirección. • Se evalúan los factores de riesgo para determinar
la clasificación del cambio y el nivel de pruebas y
Información y comunicación aprobación.
• Mensajes periódicos de la alta dirección con res-
pecto a que el control del cambio es importante. Determinación de objetivos e identificación del
• Se comunican los problemas con la mesa de ser- evento
vicio para su resolución y análisis de tendencias. • La gerencia establece los objetivos y estrategias
• Se comunican los cambios en la política a todo el del negocio.
personal que se ve afectado por ellos. • La gerencia establece los objetivos para la gestión
• Comunicación regular de los cambios próximos a del cambio, identifica qué eventos pueden impe-
realizarse. dir el logro de los objetivos del negocio y la debi-
da observación del proceso de cambio.
Actividades de control
• Proceso ordinario implementado y documentado. Entorno interno
• Estructura del comité de control del cambio eficaz • La alta dirección demuestra que la gestión del
• Se utilizan registros de control del cambio. cambio es importante.
• Se mantiene una separación de las funciones de • Presencia de una cultura de gestión del cambio
los programadores y del personal técnico. eficaz.
• Controles automáticos para hacer cumplir el pro- • No hay ninguna tolerancia para los cambios fuera
ceso de promover los cambios en la producción. de proceso, está implementado el proceso de
• Proceso automático para volver el entorno de renuncia.
producción a su estado anterior al cambio. • Existe la documentación pertinente (políticas, pro-
• Se documentan las configuraciones aprobadas. cedimientos, proceso de gestión de cambios para
• Se documenta la clara delegación de autoridad. aplicaciones, bases de datos, sistemas operativos y
• Se documentan las aprobaciones de los cambios. cualquier otro activo de TI).
• Sistema automático y copias de seguridad de • Se proporciona capacitación sobre el proceso a
datos junto a la capacidad de restaurar desde el todo el personal afectado por el cambio.
entorno aprobado. • Se aplican las responsabilidades y los roles definidos.
• Están implementados los acuerdos de niveles de
Evaluación de riego servicio (en inglés, SLA) y contratos con provee-
• Las evaluaciones del riesgo a nivel de proceso y dores donde se definen los estándares de proceso
estrategia de la empresa tienen en consideración y rendimiento.
los riesgos asociados con los cambios fuera de • Están implementados los estándares y pautas a
nivel de la empresa para el proceso del cambio.
12
GTAG — Definir la gestión de cambio de TI — 4
En la mayoría de las empresas, el departamento de TI tiene • Software: sistemas operativos y aplicaciones.

dos roles principales: 1) operar y mantener los servicios y • Información, datos y estructuras de datos: archivos y
compromisos existentes y 2) entregar los nuevos productos bases de datos.
y/o servicios para ayudar a alcanzar los objetivos del negocio. • Controles de seguridad: software antivirus, filtros de
Esta parte describe el alcance de la gestión del cambio en res- seguridad y sistemas de detección/protección contra
paldo a estos dos roles, las características de gestión del cam- intrusiones.
bio eficaz e ineficaz, el rol de la auditoría en la gestión del • Procesos, políticas y procedimientos.
cambio y las mediciones que pueden contribuir para admi- • Roles/responsabilidades: autorización, autoridad para
nistrar el cambio con eficacia.. actuar y controles de acceso.
4.1 ¿Cuál es el alcance de la gestión del cambio? 4.1.3 Proceso de gestión del cambio
Esta guía se centra en la gestión del cambio operacional de Habitualmente, un proceso de gestión del cambio incluye las
TI que se inicia cuando se identifican actualizaciones o siguientes actividades:
mejoras en los activos de TI (infraestructura, aplicaciones) • Identificar la necesidad del cambio.
para su pase a producción (por ejemplo, desde un equipo de • Prepararse para el cambio.
desarrollo de aplicaciones o desde un equipo de investiga- – Documentar en detalle la solicitud del cambio.
ción y desarrollo) y finaliza cuando tales activos se retiran – Documentar el plan de prueba del cambio.
del entorno de producción. Esto incluye los controles de – Documentar el plan para deshacer el cambio en
mantenimiento de la aplicación y del cambio de emergencia. caso de fallo del cambio.
Se excluyen específicamente los cambios que se presentan – Escribir un procedimiento paso a paso que incorpore
durante el diseño y desarrollo del software. el cambio, el plan de prueba y el plan para deshacer
El término gestión del cambio, tal como se utiliza en la el cambio.
guía, excluye el proceso de gestión de configuración. La ges- – Presentar el procedimiento del cambio en forma de
tión de configuración tiene que ver con identificar, contro- solicitud de cambio.
lar, mantener y verificar las versiones de todos los • Desarrollar la justificación comercial y obtener las
componentes de TI (hardware, software, documentación aprobaciones.
relacionada) [ITIL 00]. Sin embargo, el proceso de gestión – Evaluar el impacto, el costo y los beneficios
del cambio debe interactuar con el proceso de gestión de relacionados con la solicitud del cambio.
configuración (y controles relacionados) cuando se efectúan – Revisar y evaluar los riesgos e impactos de la
cambios en las configuraciones. solicitud del cambio, incluidos impactos regulatorios.
• Autorizar la solicitud del cambio.
4.1.1 Fuentes de cambio – Autorizar, rechazar o solicitar información adicional
Prácticamente, todas las decisiones comerciales requieren acerca de la solicitud del cambio.
cambios de TI. Los siguientes factores sirven como fuentes – Priorizar la solicitud del cambio con respecto a otras
de cambio que se deben abordar y administrar con eficacia que estén pendientes.
en el entorno de TI: • Programar, coordinar e implementar el cambio.
• Entorno externo (mercado competitivo, partes intere- – Programar y asignar un implementador del cambio.
sadas/accionistas, riesgos cambiantes). – Programar y asignar un evaluador del cambio.
• Entorno regulatorio. – Probar el cambio en un entorno de preproducción.
• Objetivos del negocio, metas, estrategias, requerimien- – Comunicar el cambio a las partes interesadas que
tos, procesos y cambios de prioridades. probablemente se vean afectadas.
• Proveedores (nuevos productos, actualizaciones, par- – Aprobar el cambio para la implementación.
ches y vulnerabilidades). – Implementar el cambio según se solicitó.
• Socios y proveedores. • Verificar y revisar el cambio implementado (un paso
• Resultados de una auditoría, evaluación de riesgo y crítico que con frecuencia se omite).
otros tipos de evaluación y valoración. – ¿Fue el cambio exitoso?
• Problemas operacionales. – ¿Se realizo un seguimiento sobre el proceso del
• Cambios en requerimientos de rendimiento o cambio?
capacidad. – ¿Cuál fue la variación entre el cambio que se planeó
y el que se implementó?
4.1.2 Alcance de los cambios – ¿Se mantuvieron los requerimientos de control
Un proceso de gestión de cambio eficaz abarca dentro de su interno, operaciones y cumplimiento regulatorio?
alcance todas y cada una de las modificaciones que se reali- – ¿Cuáles fueron las lecciones aprendidas que se
cen a los activos basados en TI de los que dependen los ser- pueden utilizar para mejorar el proceso?
vicios del negocio. Entre los activos sujetos a la gestión del • Retirar el cambio si no tuvo éxito.
cambio se incluyen: • Cerrar la solicitud del cambio y comunicarlo a las par-
• Hardware: computadoras centrales, servidores, estacio- tes afectadas.
nes de trabajo, ruteadores, conmutadores y dispositivos • Efectúe los cambios acordados en el proceso de gestión
móviles. del cambio.
13
Los auditores de inmediato reconocerán que la gestión del trabajo fuera de la secuencia pensada con el riesgo de
cambio eficaz exige controles preventivos, de detección y reprocesos y duplicación de esfuerzos.
corrección, y que la necesidad de controles independientes • Es evidente un alto grado de problemas, reflejado en
aumenta a medida que el entorno de producción de TI se una actitud de tipo “siempre nos pasa todo a nosotros”
torna más dinámico y complejo. Entre los controles preven- o “se pierde mucha energía en el sistema”, además no
tivos necesarios se incluyen la separación de roles, la autori- hay capacidad para controlar el entorno operacional.
zación del cambio, su supervisión y aplicación. Si embargo, • Los sistema de parches ocasionan importantes inte-
para monitorear y aplicar el proceso con eficacia, se deben rrupciones ocasionadas por fallos de los cambios que a
adoptar controles de detección para supervisar el entorno de su vez dan como resultado cortes, deterioro del servi-
producción en relación a los cambios, conciliar estos cam- cio, reprocesos o trabajos no planeados. Esto a menu-
bios como cambios aprobados e informar las variaciones no do exacerba una relación de trabajo negativa o adversa
autorizadas. La gestión del cambio eficaz también cumple un entre el sector de seguridad de la información y el de
rol correctivo para la gestión de TI durante las interrupcio- operaciones de TI.
nes y restricciones de servicio, lo cual permite que se descar- • Grandes cantidades de los ciclos de tiempo, recursos y
te el cambio en primer lugar en el ciclo de reparaciones, y capital, se emplean para corregir actividades o infraes-
por consiguiente se reduzca el tiempo de reparación. tructuras no autorizadas del proyecto y se quita a los
ciclos de las actividades planeadas y autorizadas.
4.2 ¿Cuál es el aspecto de la gestión del cambio • Los recursos regularmente se desvían a reprocesos,
ineficaz? como resultado de la necesidad de afrontar las conse-
¿Cómo sabe usted si una organización tiene un proceso de ges- cuencias no deseadas de cambios no administrados.
tión del cambio eficaz o ineficaz? ¿Qué conductas y qué otras • Se observa una alta rotación del personal técnico y
señales sirven como indicadores útiles de la capacidad de la evidencias claras de “desgaste” en el personal clave.
organización o bien de su falta de capacidad al respecto? A nivel de infraestructura de TI:
Los indicadores de una gestión del cambio ausente o ine- • El comportamiento ad hoc, caótico y urgente requiere
ficaz aparecen como disfunciones en una variedad de dimen- de la intervención de los expertos/héroes técnicos; un
siones organizacionales. alto porcentaje del tiempo se emplea en modo de
A nivel de mercado: “situación de emergencia” en tareas reactivas.
• Oportunidades perdidas. La empresa no puede imple- • Incapacidad para rastrear cambios, informar sobre el
mentar los nuevos servicios y productos planeados de estado y los costos del cambio y presencia de cambios
manera consistente. Esto ocurre cuando se tienen que no autorizados.
comprometer recursos para afrontar trabajos no planea- • Aumento de los recursos que se emplean para afrontar
dos, como consecuencia de cambios no administrados. trabajos no planeados, a expensas del trabajo planea-
El trabajo no planeado se puede manifestar como tiem- do. Esto se puede describir como un bajo porcentaje de
po perdido/no presupuestado, recursos perdidos/no pre- éxito del cambio. La tasa de éxito del cambio es una
supuestados (personal, capital) y como trabajo no medida de la cantidad de trabajo nuevo que se intro-
presupuestado. duce cuando se implementa un cambio. Una tasa de
• Los proyectos de desarrollo se retrasan y a menudo se éxito del cambio alta significa que el cambio se ha
exceden del presupuesto establecido, esto da como implementado según lo planeado y que no se ha intro-
resultado productos y servicios con demoras y más cos- ducido trabajo adicional como resultado del cambio.
tosos en comparación con la competencia. En oposición, una tasa de éxito del cambio baja impli-
A nivel de clientes/partes interesadas: ca que un cambio inesperadamente introduce trabajo
• Los productos y servicios no funcionan como se anun- no planeado adicional, a veces, por encima del trabajo
cia o se espera, o bien, operan con fallos. Esto condu- requerido para implementar el cambio original. Una
ce a un producto o servicio no confiable de baja tasa de éxito del cambio baja puede producir una espi-
calidad. Si los clientes pueden cambiar de proveedor ral descendente que consume recursos excesiva y con-
fácilmente, lo harán. tinuamente.
A nivel de la organización: • Una TI ineficaz interactúa con sus iguales
• Los cambios no autorizados, no rastreados, crean una (Investigación y Desarrollo, programadores de aplica-
potencial exposición al fraude. ciones, auditorías, seguridad, operaciones) que gene-
• Los requerimientos del negocio se pueden malinterpre- ran barreras e introducen demoras innecesarias.
tar en relación con los cambios de TI que se requieren • Una cantidad numerosa de cambios no documentados
e implementarse de manera deficiente e inadecuada. que se suceden a través del tiempo aumenta la varia-
• La organización tiene muy poca capacidad, o directa- ción de producción de configuración dando como
mente ninguna, para pronosticar el impacto de un cam- resultado tasas de éxito del cambio bajas y aumentan-
bio sobre los procesos comerciales existentes. do la dificultad de implementar parches sin que ocu-
• Dado que es poco probable que los cambios sean eva- rran fallos de cambios ni trabajo no planeado.
luados en relación unos con otros, no se fijan priorida-
des de cambio, lo que da como resultado que se trabaje
sobre los elementos equivocados o se trabaje sobre algo
que es menos importante. Es probable que se realice el
14
4.3 ¿Cuál es el aspecto de la gestión del cambio identificar dichos parches y distribuirlos en la organiza-
eficaz? ción utilizando la calificación de severidad de la organi-
¿De qué manera puede reconocer una gestión de cambio efi- zación como guía.
caz al verla? ¿Puede entrar a una organización y determinar • Los recursos (tiempo, esfuerzos, dólares, capital) se
en 15 minutos si el proceso de gestión de cambio es eficaz? aplican para implementar los cambios seleccionados
Los indicadores de una gestión de cambio eficaz apare- con poco esfuerzo desperdiciado o casi ninguno (alta
cen como una capacidad madura (predecible, repetible, tasa de éxito del cambio); los recursos raramente se
administrada, mensurable, medida) en una variedad de desvían al trabajo no planeado.
dimensiones organizacionales. • La organización puede responder con seguridad a las
A nivel de mercado: preguntas: “¿Estoy haciendo las cosas correctas?”
• La empresa está en posición de actuar en nuevas opor- (capacidad para seleccionar y dar prioridades) y
tunidades de negocios que requieren una capacidad de “¿Estoy haciendo las cosas correctamente?” (con una
TI adicional o actualizada. Cada oportunidad se planea calidad y un desempeño aceptables).
y administra de una manera predecible. Los recursos • Un proceso de gestión del cambio eficaz se evidencia
adecuados se pueden comprometer con la seguridad de por la aplicación/adherencia y disciplina de un proce-
que son suficientes, y de que están basados en un ren- so riguroso, en la capacidad de tomar decisiones de
dimiento histórico rastreado. manera centralizada y en la colaboración y comunica-
• Los productos y servicios respaldados por la TI se lan- ción entre los departamentos.
zan al mercado según lo planeado y esperado. • Se trazan mapas de los proyectos autorizados según las
A nivel de clientes/partes interesadas: órdenes de trabajo y viceversa.
• Los productos y servicios funcionan tal como se anun- • Las inversiones para cumplimiento y seguridad se sos-
ció y muestran un nivel de calidad de servicio y pro- tienen porque las configuraciones de producción no se
ducto confiable y uniforme. Los problemas y reclamos desvían a estados no seguros y de incumplimiento. En
de los clientes se tratan de manera oportuna. Los clien- consecuencia, el costo de seguridad y cumplimiento es
tes por lo general se sienten satisfechos y son leales a la mucho más bajo.
organización. • Progresivamente, se destinan más tiempo y más recur-
• Hay una disminución de la demanda de recursos que sos a problemas de TI estratégicos dado que la organi-
ofrecen los centros de asistencia/mesa ayuda al cliente. zación ya tiene bajo control sus inquietudes tácticas
• Las partes interesadas apropiadas están involucradas (operacionales del día a día).
en la evaluación de los riesgos asociados a los cambios • La gestión del cambio eficaz sirve como control esen-
propuestos y priorizan su implementación. cial del gobierno de TI.
• Los participantes del proceso de cambio comprenden A nivel de infraestructura de TI:
las categorías y prioridades relevantes de los cambios y • Los controles de gestión del cambio (incorporados en los
los niveles de rigor y formalidad requeridos para imple- procesos operacionales de TI bien definidos) se utilizan
mentar cada uno de ellos. para ayudar a garantizar la uniformidad y predecibilidad
• Hay una postura de cumplimiento debido a la naturale- necesarias para lograr las metas del negocio que a su turno
za básica de la administración del cambio. confían en estos procesos. En otras palabras, el personal
Prácticamente, toda regulación tiene requerimientos de de TI entiende cómo la gestión del cambio eficaz respal-
TI y como resultado, puede crear un nuevo proyecto da la tarea de cumplir con los objetivos comerciales.
para los equipos de cumplimiento y seguridad. Cuando • Una cultura de gestión del cambio se perpetúa a través
los controles están bien documentados, el cumplimien- de una combinación de matices en los niveles más altos
to con una nueva regulación no es un proyecto nuevo, y de controles preventivos, de detección y corrección,
sino simplemente una actividad de mapeo. que sirven para impedir futuros cambios no autorizados.
A nivel de empresa: La gerencia explícitamente establece que el único
• La cultura de la gestión del cambio se hace evidente en número aceptable de cambios no autorizados es “cero”.
el entendimiento, la conciencia, el patrocinio visible y • Presenta una tasa de éxito del cambio alta, lo que da
la acción. como resultado la ausencia de trabajo no planeado o si
• Regularmente, se realizan compensaciones eficaces existe, en una cantidad al menos mínima. La ausencia
que equilibran el riesgo y el costo del cambio en rela- de urgencias y la existencia de un proceso bien defini-
ción a la oportunidad. Los cambios se programan y do para integrar los cambios conduce a una tasa de
priorizan en consecuencia. Existe una capacidad para éxito del cambio mucho más alta.
predecir el impacto del cambio en el negocio. Según • Los controles del cambio eficaz se han implementado,
BITS [BITS 04]: se informan con regularidad y se auditan con facilidad.
Con frecuencia, determinar el grado de aceptación de Los controles preventivos están bien documentados y
riesgo de una empresa es el paso más difícil en la imple- se ejecutan de manera consistente, los controles de
mentación de una estrategia de gestión del cambio. Las detección se utilizan para supervisar, vigilar y conciliar
personas que tienen a su cargo la responsabilidad del los cambios según las órdenes de cambio autorizado.
proceso de gestión del cambio deben entender el grado de Los controles son favorables para el muestreo sustanti-
tolerancia al riesgo de su organización con respecto a la vo de los auditores y se requiere poca o casi ninguna
instalación de parches, a la vez que deben ayudar a información adicional de la gerencia de TI.
15
• La variaciones en las configuraciones de producción se cantidad de inspecciones manuales y muestreos sustan-

detectan con anticipación de manera de incurrir en el tivos que se asemejan a los de “arqueología”.
mínimo costo posible y provocar el mínimo impacto. • Las organizaciones más eficaces aplican parches con
• La empresa regularmente demuestra la excelencia ope- menor frecuencia que la norma, tal vez en una propor-
racional con respecto a la gestión del cambio. ción de un orden de magnitud, aceptan que el riesgo de
• Los niveles altos de servicio (alto grado de disponibili- la exposición a la vulnerabilidad puede ser menor que
dad,tiempo productivo y tiempo medio entre fallos; el riesgo a la disponibilidad debido a los impactos no
bajo grado de tiempo medio para detectar problemas e anticipados ocasionados por un cambio erróneo fuera
incidentes y para las reparaciones) tienen lugar en pre- de ciclo. Sin embargo, en el caso de una actualización
sencia de procesos bien definidos que introducen cam- crítica, las organizaciones capaces pueden implemen-
bios planeados y predecibles. tar un parche fuera de ciclo con un riesgo mínimo.
• Cuando surgen problemas con un nuevo cambio o Para tener un proceso eficaz, las partes interesadas no parti-
configuración, TI tiene la capacidad de restablecer cipan únicamente en la evaluación de los riesgos relaciona-
rápidamente los sistemas al estado operacional confia- dos con los cambios propuestos y en el establecimiento de
ble y conocido. prioridades para la implementación del cambio. Una de las
• TI ostenta estructuras de costo inusualmente eficientes barreras que con frecuencia deben afrontar los departamen-
(una proporción de servidores con respecto a adminis- tos de TI cuando tratan de desarrollar un proceso de gestión
tradores de sistema de 100:1, o incluso un valor más del cambio robusto es la falta de interés, compromiso y
alto, en comparación con el correspondiente a las patrocinio de sus contrapartes del negocio. Los gerentes de
organizaciones de bajo rendimiento, con una cifra, unidades de negocio deben involucrarse activamente en
como mínimo, inferior en una orden de magnitud). todo el proceso, desde la identificación inicial de sus necesi-
• Resolución e identificación oportuna de los problemas dades hasta la realización de la mayoría de las pruebas de
operacionales, incluidos los incidentes de seguridad. aceptación por parte del usuario, e incluso la aprobación de
• La organizaciones que poseen procesos de gestión del los cambios que se incorporarán en producción. Estos puntos
cambio eficaz y controles al respecto afrontan los par- de contacto críticos tienen más probabilidades de ocurrir
ches de una manera predecible y planeada, que está cuando el rol del gerente de negocio está incluido en las polí-
sujeta a los mismos procesos y análisis que cualquier ticas y procedimientos relevantes, y los gerentes de rango
otro cambio. Los parches se agregan a la cola “candi- superior ponen el énfasis apropiado en el hecho de ser copro-
dato de ingeniería de liberación”, donde se evalúan, pietarios del proceso antes que meros observadores. La
se prueban y se integran a una implementación de comunicación y colaboración entre TI y las unidades de
liberación ya programada. negocio son críticas para lograr un proceso eficaz.
• Los controles preventivos y de detección son automá-
ticos y permiten la preparación de informes más
exactos y sencillos para los auditores, requieren menor
Cuadro 1: Mediciones de la gestión del cambio7
Mediciones e indicadores Pautas

Cantidad de cambios autorizados por semana según En general, una mayor cantidad de cambios indica más cam-
medición del registro de la gestión de cambio de los cambios bios de productividad, siempre que la tasa de éxito del cam-
autorizados. bio sea alta. La tendencia (ascendente, descendente o
estable) debe tener sentido en el contexto del negocio.
Las organizaciones de alto rendimiento pueden sostener hasta

más de 1.000 cambios exitosos por semana.8
Cantidad de cambios reales efectuados por semana según La cantidad de cambios realmente implementados en la
medición por parte de los controles de detección, como semana no debe exceder la cantidad de cambios autorizados.
monitorización de software.
Cantidad de cambios no autorizados. Cuanto más bajo su valor, mejor, pero por lo general, el único
número aceptable de cambios no autorizados es “cero”, un
Estos son cambios que soslayan el proceso del cambio. Se cambio aislado puede destruir una operación completa o
miden tomando la cantidad de cambios reales efectuados crear un riesgo material.
menos la cantidad de cambios autorizados.
Una gran cantidad de cambios no autorizados indica que “la
Si no se tienen controles de detección, no se puede realizar verdadera forma de hacer cambios” es mediante la omisión
ninguna medición confiable de los cambios reales. En tal caso, del proceso de gestión de cambios.
la cantidad de interrupciones no planeadas se puede utilizar
como medición sustituta. Las organizaciones de alto rendimiento tienen una cultura de
gestión del cambio y, por consiguiente, declaran que no tole-
ran ningún cambio no autorizado [Kim 03].
7
En el Apéndice A, página 32, se incluyen más definiciones sobre estas mediciones e indicadores.
8
Comparación (benchmarking) realizada por el Instituto de Procesos de TI (IPTI).
16
Cuadro 1: Mediciones de la Gestión del Cambio (continuación)
La tasa de éxito del cambio, definida como los cambios Cuanto más alta, mejor. Cuando los cambios no se adminis-
implementados con éxito (esos que no ocasionaron interrup- tran ni se realizan las pruebas adecuadas sobre ellos, las tasas
ciones, deterioros de servicios o un episodio de trabajo no de éxito del cambio, por lo general, están en un valor del
planeado), como porcentaje de los cambios reales realizados. 70%.
Las organizaciones de TI de alto rendimiento no sólo alcanzan
tasas de éxito del orden del 99% con regularidad, sino que los
cambios fallidos rara vez provocan interrupciones del servicio
o trabajos no planeados.
Cantidad de cambios de emergencia (incluidos parches) deter- Cuanto más bajo, por lo general, es mejor. La presencia de
minada por la cantidad de cambios que requirieron de la apro- muchos cambios de emergencia indica que la “verdadera
bación urgente en la semana mediante el uso de la comisión forma de hacer cambios” es mediante el uso del proceso de
de revisión del cambio o el proceso de cambio de emergencia. cambios de emergencia, sea por comodidad o rapidez.
Los cambios de emergencia, generalmente, tienen un porcen-
taje de fallos más alto y generan trabajos no planeados o
reprocesos. Un aumento en los cambios de emergencia pro-
bablemente indique que hay otros problemas de gestión de
cambios que está ocasionando tal incremento.
Las comparaciones del IPTI detectaron que cuando los
cambios de emergencia representan más del 10% del total
de cambios, la organización, casi con certeza, es de bajo ren-
dimiento. Concretamente, dos organizaciones que tuvieron
fallos de TI que ocuparon la primera plana de las noticias
estaban efectuando de urgencia más del 25% de sus solicitu-
des de cambios.
Porcentaje de parches implementados en las versiones de Cuanto más alta, por lo general, mejor.
software planeadas. Cuando los parches se implementan en Paradójicamente, la organizaciones de TI de alto rendimiento
versiones de software planeadas, no provocan interrupcio- con frecuencia tienen una tasa de implementación de parches
nes en producción y tienen tasas de éxito del cambio mucho muy baja. Durante las sesiones de BIC SORT, dos de las organi-
más altas. zaciones de alto rendimiento afirmaron que ellos optaban por
implementar parches con una frecuencia anual, a pesar de efec-
tuar miles de cambios por semana. Con frecuencia, mitigan los
riesgos de vulnerabilidad sin requerir cambios en los sistemas
de producción (por ejemplo, eliminando la vulnerabilidad en un
filtro de seguridad).
Porcentaje de tiempo empleado en trabajo no planeado. El Cuanto menos mejor.

trabajo planeado es tiempo que se emplea en proyectos y
tareas autorizadas. El trabajo no planeado incluye ciclos de De acuerdo a las 11 organizaciones de IT de alto rendimiento
cortes/correcciones, reprocesos y cambios de emergencia.. que estudió el IPTI todas empleaban menos del 5% de su
tiempo en trabajos no planeados. Por el contrario, centenares
de organizaciones empleaban del 30% al 40% de su tiempo
en trabajos no planeados.
Porcentaje de proyectos entregados más tarde de lo Cuanto más bajo, por lo general, es mejor. Cuando las organi-
planeado. zaciones emplean todo su tiempo en trabajos no planeados,
a menudo no disponen del tiempo suficiente para trabajar en
los trabajos planeados, como por ejemplo, en los nuevos
proyectos y servicios. Por consiguiente, eso hace que los pro-
yectos se entreguen con retrasos.
17
=
Figura 2: Trabajo no planeado como indicador de proceso de gestión del cambio eficaz
X X
Porcentaje de cambios Tiempo medio Porcentaje del tiempo
Cantidad de
fallidos o cambios no para empleado en trabajos no
cambios en producción
autorizados reparaciones planeados
Organizaciones de alto >1000 cambs/sem < 1% Minutes < 5% del tiempo

rendimiento
Organización No se conoce, ~30 - 50% Horas, Días 35 - 45% del

promedio centenares (Promedio) tiempo
ORGANIZACIÓN PROMEDIO: 35 - 45% del tiempo (y los gastos operacionales) se emplean en trabajos no planeados.
IMPACTO: proyectos demorados, reprocesos, problemas de cumplimiento, variaciones no controladas, etc.
X X =
Figura 3: Variables clave que influyen sobre los procesos de gestión del cambio
Cantidad de Porcentaje de cambios Tiempo medio Porcentaje del tiempo

cambios en fallidos o cambios no para empleado en trabajos
producción autorizados reparaciones no planeados
COMPORTAMIENTOS QUE AUMENTAN LA TASA DE ÉXITO DEL CAMBIO: COMPORTAMIENTOS QUE DISMINUYEN EL
• Pruebas eficaces de los cambios. TIEMPO PROMEDIO DE REPARACIÓN:
• Revisión de riesgo eficaz al aprobar los cambios. • Cultura de contingencias: se desea descartar el cambio
• Identificación eficaz de los participantes del cambio. en primer lugar en el ciclo de reparaciones.
• Programación eficaz de cambios. • Proceso de gestión del cambio eficaz que puede
COMPORTAMIENTOS QUE REDUCEN LOS CAMBIOS NO AUTORIZADOS: informar sobre cambios autorizados y programados.
• Cultura de gestión del cambio. • Capacidad de distinguir entre eventos de interrupción
• Sentido de propiedad del proceso del cambio por parte de la gerencia. planeados y no planeados.
• Monitorización eficaz de la infraestructura con controles de detección para poner en • Comunicaciones eficaces acerca de los cambios
práctica el proceso del cambio. programados.
• Uso de acciones correctivas por parte de la gerencia cuando no se siguen los procesos de cambio. • Monitorización eficaz de la infraestructura para
• Separación eficaz de las funciones mediante la adopción de restricciones respecto a quién puede los cambios de producción.
implementar cambios.
4.4 Mediciones e indicadores de la gestión del encuentra en un período de congelación de cambios, la

cambio disponibilidad está en su punto más alto y el trabajo no
Los auditores internos deben determinar si estas mediciones planeado en su punto más bajo.
clave de gestión del cambio se están utilizando para vigilar la • Cuando una organización de TI no aplica las políticas de
eficacia del proceso e impulsar el valor de negocio. Las medi- gestión del cambio (por ejemplo, cuando los controles
ciones enumeradas en el Cuadro 1 de las páginas 16 y 17 son preventivos y de detección son inadecuados), los cambios
indicadores útiles de un proceso de gestión del cambio eficaz. fallidos y no autorizados ocasionan interrupciones pro-
La Figuras 2 y 3 muestran los indicadores clave de la ges- longadas que, a su vez, generan trabajos no planeados.
tión del cambio eficaz y los controles dominantes que los • Cuando las organizaciones de TI tienen una propor-
incrementan o los disminuyen. Los indicadores clave9 son: ción alta de trabajo no planeado con respecto a traba-
• Cantidad de cambios de producción. jo planeado, disponen de menos tiempo para realizar el
• Porcentaje de esos cambios que fallan o no están auto- trabajo específico de su tarea, como por ejemplo,
rizados. entregar nuevos productos y servicios.
• Intervalo de tiempo requerido para recuperar el cam- Las organizaciones de TI de alto rendimiento se desempe-
bio fallido. ñarán incluso mejor que lo que sugiere este modelo. Cuando
Cuando estas tres variables se multiplican en conjunto, el los cambios se administran correctamente, incluso los cambios
resultado es trabajo no planeado. planeados fallidos raramente ocasionan una interrupción del
Este es un modelo extremadamente simple y no preten- servicio y, en consecuencia, el tiempo medio para reparaciones
de ser matemáticamente correcto. Su objetivo es mostrar las es “cero”. Por el contrario, las organizaciones de bajo rendi-
variables dominantes y los indicadores líderes para la gestión miento a menudo no pueden medir más que las interrupciones
del cambio de TI eficaz y, en consecuencia, una TI eficaz: obvias y los trabajos no planeados.
• Cuando una organización de TI no realiza cambios o se
9
Sobre la base de las comparaciones del IPTI que analizó 11 organizaciones de TI de alto rendimiento y encuestó a centenares de distintas organizaciones.
18
4.5 Integración de la Gestión de parches a la anteriores, intente empaquetar los parches y actualizaciones
Gestión de de cambios dentro de una misma versión, en lugar de aplicar parches
A pesar de la urgencia que conlleva la aplicación de parches individuales en los sistemas individuales.
de software, la implementación de parches idealmente debe Muchas de estas mediciones también están identificadas
pertenecer a los procesos de preproducción, donde los par- en el trabajo finalizado en Noviembre de 2004 y realizado por
ches se pueden probar adecuadamente en un entorno de Corporate Information Security Working Group's, Best
puesta en escena. Estos parches se implementan como parte Practices and Metrics Team (Equipo de mediciones y mejores
de una versión de software programada. prácticas del Grupo de trabajo de seguridad de la información
La implementación de parches es una operación riesgo- corporativa). Este trabajo fue contratado por el Comité de
sa por diversas razones. Los parches tienden a afectar a Reformas Gubernamentales de la Cámara de Representantes
muchas bibliotecas de sistemas críticos y a otros software uti- de EE. UU., Subcomité de Tecnología, Política de la informa-
lizados por diversos programas de aplicación. Tienden a ción y Relaciones Intergubernamentales y Censo.10
introducir grandes cambios, con frecuencia, con poca docu- Por último, los riesgos relacionados con el cambio no se
mentación que describa específicamente qué es lo que dichos restringen a la mera aplicación de los parches, sino que se pue-
parches modificarán. Además, suelen ser operaciones com- den generalizar a cualquier tecnología de implementación de
plejas y de gran tamaño. Incluso, hasta las variaciones peque- cambios automática. John Gall concisamente escribió acerca
ñas de configuración pueden provocar resultados del desafío de la automatización: “El advenimiento de la revo-
drásticamente diferentes. Estos factores hacen que la tasa de lución informática simplemente proporciona nuevas oportu-
éxito del cambio para los parches sea mucho más baja que nidades de errores a niveles de complejidad y grandiosidad que
para los cambios típicos, y por lo tanto requieren la realiza- anteriormente no eran posibles”. [Gall 86]
ción de pruebas más amplias. Cuando no se realizan las sufi- El uso de la gestión de parches y de las tecnologías de
cientes pruebas y planificación, invariablemente aparece el implementación de cambios a la vez hace que el entorno de
dilema de “implemente el parche y cruce los dedos”. producción sea más complejo y dinámico: el número de vec-
Este fenómeno está bien documentado, se refiere al tores de cambios aumenta así como el número de cambios
hecho de que ni la implementación del parche ni su no que se pueden realizar. Estos entornos requieren: 1) contro-
implementación parecen lograr el objetivo de crear una pla- les preventivos adicionales para reducir la posibilidad de
taforma informática segura y disponible. Tal como se descri- cambios no autorizados y 2) controles de detección indepen-
bió anteriormente, las organizaciones de TI de alto dientes para simplificar las funciones de monitorización,
rendimiento implementan parches con mucha menor fre- conciliación y preparación de informes.
cuencia que las organizaciones de TI típicas, y aun así logran
la postura de seguridad deseada. Es incorrecto suponer que 4.6 Principios de guía: cómo decidir si se deben
adoptan esa decisión a costa de la seguridad. Más bien, admi- implementar los cambios, cuándo y cómo
nistran con eficacia el riesgo residual y utilizan controles Los principios de guía sobre cómo tomar buenas decisiones
compensadores en lugar de implementar parches. de gestión del cambio implican plantearse las siguientes pre-
Los ejemplos de cómo se deben evaluar las solicitudes de guntas:
implementar parches en los sistemas de producción incluyen • ¿El cambio es realmente necesario? Las organizaciones
las siguiente preguntas [ITPI 04]: de TI tienen la menor cantidad de trabajos no planea-
• ¿Constituye una amenaza material para nuestra capaci- dos y de situaciones de emergencias en los períodos de
dad de entregar un servicio seguro y confiable para el congelación de cambios. Por consiguiente, cualquier
negocio? cambio debe garantizar no sólo los esfuerzos de prepa-
• ¿Podemos mitigar esta amenaza sin aplicar el parche o ración e implementación del cambio, sino también las
la actualización? consecuencias (a menudo, imprevistas) de realizarlo.
• ¿Podemos realizar una prueba del impacto de la actua- • Cuando no hay cambios permitidos, ¿los períodos de
lización y sentirnos seguros de que nuestras pruebas congelación de cambios y mantenimiento programado
servirán para predecir el resultado en nuestros sistemas están igualmente definidos? Los períodos de estado
de producción? estático no sólo son los más estables, sino también los
• ¿Cuándo es el próximo ciclo de versiones? ¿Podemos más productivos y, por consiguiente, se deben definir y
poner en el mismo paquete esta actualización con otras aplicar.
actualizaciones probadas? • Si necesariamente se deben efectuar cambios, ¿cómo se
• Si necesariamente tenemos que hacer esto ahora, asegura de que sean exitosos? Los cambios no probados
¿cómo podemos minimizar el riesgo de consecuencias rara vez tienen una tasa de éxito superior al 70%. Las
inesperadas? organizaciones comprometidas con la implementación
• Si no podemos reducir el riesgo de exposición median- exitosa de cambios deben invertir tiempo y recursos
te pruebas y no podemos empaquetar esto con otras para realizar las pruebas adecuadas.
versiones, ¿podemos lograr que las partes interesadas y • Cuando se deben implementar cambios, ¿se programan
la gerencia de TI aprueben formalmente el riesgo? en grandes lotes? La variación crea riesgo y este se
Genere un programa de versiones que logre los objetivos puede reducir mediante el empaque de varios cambios
10
La información sobre este esfuerzo está disponible en http://reform.house.gov/TIPRC/News/DocumentSingle.aspx?DocumentID=3030. El informe del
Grupo del mes de noviembre de 2004 se puede consultar en http://www.educause.edu/LibraryDetailPage/666&ID=CSD3661.
19
juntos que se pueden probar e implementar simultáne-

amente. Esto da como resultado períodos más prolon-
gados de estado operacional estático de preservación y
a la vez tiempos de implementación de cambios más
breves y más productivos.
• ¿Las variaciones se informan con regularidad a la geren-
cia de TI? ¿Se están conciliando los cambios de produc-
ción con trabajo autorizado? ¿Se documentan las
interrupciones no planeadas y las variaciones del cambio
y se actúa en consecuencia? ¿Los informes que muestran
el efecto de los controles preventivos y de detección son
de fácil acceso para la gerencia y los auditores? Cuando
los controles funcionan correctamente, no solamente el
proceso de auditoría de cambio funciona más eficiente-
mente, sino que también es más probable que la gerencia
de TI alcance sus objetivos comerciales.
20
GTAG — ¿Qué preguntas debo hacer sobre
la gestión de parches y cambios? — 5
En esta sección ofrecemos un conjunto de preguntas que los Los arquetipos más habituales son:
auditores pueden utilizar para comprender de qué manera se • Gerente de TI que tiene un proceso de gestión de cam-
administran los cambios con eficacia. El objetivo de esta sec- bio eficaz.
ción es proporcionar buenas preguntas y una orientación • Gerente de TI que tiene un proceso de cambio inefi-
acerca de cómo interpretar las respuestas típicas de los distin- caz, pero que trabaja en mejorarlo (en el modo de solu-
tos arquetipos de gerentes de TI que tienen diferentes visio- ción de problemas).
nes acerca de la importancia de la gestión del cambio eficaz. • Gerente de TI que tiene un proceso de cambio ineficaz
y no tiene planes de cambiarlo (en estado de negación).
Cuadro 2: Preguntas a realizar sobre la gestión del cambio agrupadas por arquetipo
Preguntas al Gerente de TI Gerente de TI con gestión de Gerente de TI con un estilo Gerente de TI en posible
cambio eficaz de modo de resolución de estado de negación
problemas
“La gestión del cambio es “Los nuestros son de prime- “Es curiosa la pregunta, “Tenemos un proceso que
muy importante. ¿Usted ra clase. Incluso, estamos estamos trabajando en eso, parece que funciona. No he
piensa que tenemos un preparados para cumplir al igual que todos los que oído comentarios negativos
proceso de gestión de cam- con los requerimientos de la están sujetos a la Sección acerca de nuestro proceso
bio eficaz?” Sección 404 de la Ley 404 de la Ley Sarbanes- de gestión del cambio, con-
Sarbanes-Oxley puesto que Oxley. Lo sabremos mejor a cretamente, auditoría no ha
todos los controles están medida que avancemos en dicho nada al respecto. No
implementados. Hemos esa dirección”. podemos afrontar los gastos
tenido que generar algunos indirectos de un proceso
informes más para mostrar engorroso para corregir algo
los mapas de los controles, que ya funciona”.
pero estamos en buenas
condiciones”.
“¿Cuál es la cantidad “La única cantidad aceptable “Bueno, si usted lo pregunta “Mire, no nos pagan para
aceptable de cambios no de cambios no autorizados de esa manera, es evidente que no hagamos cambios. A
autorizados?” es “cero”. Un cambio aislado que la cantidad aceptable veces, tenemos que que-
puede destruir una opera- de cambios no autorizados brantar las reglas. Esa es la
ción completa: por esa es cero. ¿Pero, apostaría- forma en que realmente
razón conciliamos los cam- mos nuestras bonificaciones hacemos los trabajos aquí.
bios diariamente. del trimestre asegurando La gestión del cambio es
Confiamos, pero siempre que eso se cumple? En burocrática y sólo desean
verificamos”. absoluto. En particular, des- desaceleran las cosas”.
pués del último trimestre”.
“Describa qué controles “Solicitamos los controles “Tenemos un equipo com- “Aún estamos en la fase de
necesita en su proceso de preventivos, de detección y pleto de auditores internos y análisis. Estamos simple-
gestión del cambio”. de corrección que son nece- consultores que están tra- mente demasiado ocupados
sarios para proporcionar a la bajando en el proyecto rela- con las urgencias del nego-
gerencia una visión exacta cionado con la Ley cio y para lo único que
del trabajo que se está reali- Sarbanes-Oxley. Ellos están hemos tenido tiempo es
zando. Hemos definido algu- definiendo y creando un para el tema de controles
nas nuevas mediciones del plan para probar los contro- respecto a la Ley Sarbanes-
cambio y hemos identificado les específicos. Todo el pro- Oxley. Pero sabemos que es
a determinadas partes intere- yecto Sarbanes-Oxley reveló importante y vamos a traba-
sadas que debemos involu- la necesidad de una pers- jar en eso apenas podamos.
crar en nuestro comité de pectiva integrada y una Además, actualmente no
gestión del cambio. No sabí- visión empresarial del cam- tenemos presupuesto para
amos en absoluto que a los bio. Además, detectamos ese trabajo. Mi experiencia
contadores realmente les algunos procesos de nego- me indica que lo que tene-
concernía la gestión del cam- cios que necesitan mejor mos, probablemente, sea
bio, ahora, ellos participarán control de cambios y esta- suficientemente bueno por-
en nuestras reuniones”. mos trabajando también en que nadie me ha dicho
esa dirección”. específicamente que el pro-
ceso actual es inadecuado”.
21
Cuadro 2: Preguntas a realizar sobre la gestión del cambio agrupadas por arquetipo (continuación)
Preguntas al Gerente de TI Gerente de TI con gestión Gerente de TI con un estilo Gerente de TI en posible
de cambio eficaz de modo de resolución de negación
problemas
“¿Hemos visto beneficios a “Rotundamente. En realidad, “Sí, pero aún no estamos “El ritmo del negocio es tan
partir del proceso de gestión los beneficios han sido tan donde deseamos estar. alto en estos momentos que
del cambio?” evidentes que hemos creado Hemos reducido la cantidad simplemente no tenemos
una cultura interna de gestión de interrupciones y hemos tiempo de seguir un proceso
de cambios. Ya no nos senti- incrementado nuestra tasa de de gestión de cambio fastidio-
mos como bomberos profe- éxito del cambio de manera so que reduce la velocidad de
sionales. Hemos mejorado significativa. Ahora, los cam- las tareas, disminuye la pro-
sustancialmente nuestro bios ocurren dentro de la ven- ductividad y crea una atmós-
desempeño, grado de tiempo tana de mantenimiento, fera burocrática. No siempre
productivo y de satisfacción aunque aún tenemos el oca- responsabilizo al personal por
por parte de nuestros clientes, sional 'cowboy' que se olvida no seguir el proceso del cam-
y en relación con nuestro per- de seguir el proceso” bio porque ellos ya están al
sonal interno y en toda la límite de sus posibilidades tra-
línea ascendente de ejecutivos tando de mantener este lugar
de la empresa”. en funcionamiento. No obs-
tante, las interrupciones ocu-
rren ocasionalmente y
sabemos que no podemos
seguir colapsando el sistema
de gestión de órdenes”.
“¿Recuerda la interrupción que “Pudimos determinar que el “Detectamos que un programa- “Detectamos que uno de nues-
afectó a todo el sitio durante cambio en particular que pro- dor migró un cambio sin seguir tros proveedores estaba reali-
la semana pasada como con- vocó la interrupción de 10 nuestros procesos aprobados. zando algunas tareas de
secuencia de un cambio? minutos estaba autorizado. Nunca se le debió haber otor- mantenimiento y actualizando
¿Qué fue lo que ocurrió?” Sin embargo, no pudimos gado la autoridad de aproba- determinado software. El pro-
anticipar el efecto corriente ción para los cambios en ese blema fue que sobrescribieron
abajo en un sistema no rela- sistema específico. Corregimos una biblioteca que nosotros
cionado. Esto no volverá a esto apresuradamente y este habíamos personalizado. Se
suceder”. programador ya no podrá ni suponía que ellos debían llevar
siquiera conectarse a los servi- un registro de nuestras perso-
dores de producción”. nalizaciones, como no fue así,
esta fue una violación a nuestro
contrato de mantenimiento”.
“Cuando usted estaba traba- “Lo primero que hacemos “Teníamos un presentimiento “Dado que no tenemos un
jando para solucionar la inte- siempre es descartar los cam- fuerte de que el problema no proceso centralizado, varios
rrupción, ¿cuál fue el proceso bios autorizados, tan anticipa- provenía de un cambio autori- equipos por separado se
que utilizó para identificar el damente como sea posible en zado. Probamos e implemen- movilizaron para tratar de
error?” el ciclo de reparaciones. tamos nuestros cambios descubrir cuál era el error.
Supimos de inmediato que la únicamente dentro de venta- Finalmente, armamos un equi-
interrupción no se debió a un nas de lanzamientos específi- po SWAT. Rápidamente,
cambio programado. Luego, cas. Entonces, comenzamos a pudieron descubrir que la
verificamos los cambios de investigar revisando los regis- interrupción fue ocasionada
producción de emergencia. tros, trabajamos hacia atrás por la actualización del prove-
Identificamos cuatro cambios tomando como punto de par- edor, pero tuvimos que esta-
que se realizaron dos minutos tida la interrupción y busca- blecer una conferencia
antes de la interrupción y mos todo lo que estuviera telefónica con ellos para
detectamos quiénes los hicie- fuera de la ventana. poder identificar que la causa
ron. Estos realizaron una res- Finalmente, encontramos había sido nuestra biblioteca.
tauración y estuvimos quién había realizado el cam- No hubo manera de volver la
nuevamente en funcionamien- bio pero no supimos porqué biblioteca a su versión ante-
to en sólo minutos”. se había realizado tal cambio. rior, entonces, tuvimos que
Creo que el administrador restaurar todo el directorio del
aprendió una lección muy software desde una cinta”.
valiosa ese día”.
22
Cuadro 2: Preguntas a realizar sobre la gestión del cambio agrupadas por arquetipo (continuación)
Preguntas al Gerente de TI Gerente de TI con gestión de Gerente de TI con un estilo Gerente de TI en posible
cambio eficaz de modo de resolución de estado de negación
problemas
“¿De qué manera lleva una “Mediante la tasa del cam- “Medimos con qué rapidez “No utilizamos mediciones
vigilancia general del buen bio, la tasa de éxito del cam- implementamos un cambio. caprichosas, aunque insisti-
funcionamiento del bio; el tiempo medio de Medimos el tiempo medio mos definitivamente en la
proceso?” reparación (en inglés, entre la solicitud del cambio excelencia del proceso. Sé
MTTR), el tiempo medio y su cierre. Nos estamos que tenemos muchos incen-
entre fallos (en inglés, preparando para medir la dios que combatir, pero a
MTBF) y un conteo de los tasa de éxito del cambio así usted también le ocurriría si
cambios no autorizados que como los cambios de emer- tuviera que trabajar con
omiten el proceso. Además, gencia y los cambios no pla- algunas de estas personas”.
tenemos una medición de neados”.
cobertura para mostrar qué
partes de la empresa no
participan en el proceso. El
trabajo no planeado es un
excelente indicador. Siempre
buscamos las variaciones y
tratamos de ver cómo
podemos reducirlas en su
origen”.
“¿Cuál es la meta de su “Confiabilidad, disponibilidad “Deseamos efectuar tantos Nuestra meta es captar la
proceso de gestión del y reducción de costos. Dos cambios como el negocio lo atención de todos los parti-
cambio?” de esos valores deben incre- requiera. Deseamos imple- cipantes clave en las reunio-
mentarse mientras el tercero mentarlos con rapidez y nes de gestión del cambio y
debe reducirse. Tratar de exactitud”. asegurarnos de que todos
optimizar sólo uno de los estén informados de lo que
tres nos dejaría fuera del está sucediendo y por qué.
negocio”. Entendemos que en la
medida en que las auditorías
sean favorables, estamos en
la dirección correcta”.
“¿Su proceso de parches, “Ninguno. Entendemos que “La implementación de par- “Debido a la mala calidad del
qué grado de interrupciones la disponibilidad es de capi- ches solía ocasionar muchas software que nos entregan
ocasiona?” tal importancia. Tenemos interrupciones, pero des- los proveedores, seguimos
que ver de qué manera miti- pués de la interrupción empleando demasiado
gamos los riesgos de seguri- importante que sufrimos tiempo en la implementa-
dad sin incurrir en los hace seis meses atrás, repa- ción de parches. Es una
peligros asociados a los samos todos los supuestos situación sin salida. Si no
cambios. En promedio, que nos formulábamos implementamos parches,
colocamos un lote grande acerca de qué parches nuestros sistemas podrían
de parches por año”. implementar y cuándo. ser atacados. Si colocamos
Hemos reducido la cantidad los parches, corremos el
de tiempo empleado en los riesgo de que los sistemas
parches de una frecuencia de producción colapsen.
semanal a una mensual, y Pero como no deseamos
ahora estamos trabajando salir en la primera plana de
para lograr una frecuencia las noticias, no tenemos otra
trimestral”. opción que implementar
parches”.
23
5.1 Evolución de la capacidad de gestión del cambio 5. Programar el cambio: “¿Cuándo es la próxima venta-
La gestión del cambio es un proceso evolutivo. Los grupos no na de mantenimiento? Me gustaría aprovechar la
deben desalentarse cuando comienzan a desarrollar sus proce- oportunidad para reiniciar el conmutador”.
sos de gestión del cambio. Las soluciones probablemente 6. Verificar cambio: “Al observar los registros del admi-
requieran cambiar a las personas, los procesos y la tecnología. nistrador de fallos, observo que el conmutador se rei-
A continuación, las etapas típicas de la gestión del cambio: nició según lo programado”.
1. Olvido del cambio: “¿Eh, se reinició el conmutador?” 7. Administrar el cambio: “Vamos a programar la opera-
2. Conciencia del cambio: “¿Eh, quién reinició el ción de reinicio del conmutador para la semana 45 de
conmutador?” manera tal que podamos realizar la actualización de
3. Anunciar el cambio: “Eh, voy a reiniciar el conmu- mantenimiento y el reinicio al mismo tiempo”.
tador. Avísenme si esto ocasiona un problema”. La Figura 4 muestra una evolución de la capacidad de
4. Autorizar el cambio: “Eh, necesito reiniciar el con- gestión del cambio desde un estado reactivo a un estado
mutador. ¿Quién debe autorizar esto?” de mejora continua.
Figura 4: Niveles de capacidad de gestión del cambio
LOS CAMBIOS DOMINAN A LA LOS CAMBIOS DOMINAN A LA

ORGANIZACIÓN ORGANIZACIÓN
REACTIVO BASADO EN EL USO DE GESTIÓN DE CAMBIO DE MEJORA CONTINUA

• Más del 50% del UN SISTEMA DE HONOR CICLO CERRADO • Se emplea menos del 5%
tiempo se emplea en • 35% del 50% del tiempo • 15% a 35% del tiempo del tiempo en trabajos
trabajo no planeado. empleado en trabajo no empleado en trabajo no no planeados.
• Entorno caótico, planeado. planeado. • La tasa de éxito del cam-
muchas situaciones • Alguna tecnología • Hay cierto sistema de bio es muy alta.
de emergencias implementada. flujo de trabajo/ticket • Los niveles de servicio
EFICACIA
• MTTR es demasiado • Usted tiene una visión implementado. son de primera clase.
extenso; bajos niveles correcta, pero no hay • Los cambios se docu- • Los costos operativos de
de servicio. responsabilidad asignada. mentan y se aprueban. TI están bajo control.
• Sólo puede incremen- • La proporción de servido- • La tasa de éxito del cam- • Se puede aumentar la
tar la capacidad de TI res con respecto a admi- bio es alta. capacidad de TI rápida-
destinando numero- nistradores es bastante • Los niveles de servicio mente con aumentos
sas personas al baja. son bastante buenos. marginales en costos de
problema • Los costos de TI son • La proporción de servi- TI.
demasiado altos. dores con respecto a • Hay procesos de revisión
• El proceso se pervierte administradores es de cambios y de capaci-
porque se habla con las buena, pero no la mejor tación implementados.
“personas adecuadas”. de todas (en inglés, BoB). • Puede incrementar la
• Los costos de TI mejo- capacidad de una mane-
ran, pero aún son dema- ra rentable.
siado altos.
• Los incidentes de seguri-
dad han disminuido.
REACTIVO BASADO EN EL USO DE UN SISTEMA DE HONOR GESTIÓN DE CAMBIO DE CICLO CERRADO. MEJORA CONTINUA
Basado en el enfoque “Operaciones Visibles” de IPTI
24
GTAG — Tres meses más tarde: finaliza la historia de Silvia — 6
Cuando Silvia considera las medidas que tomó en función de proceso de administración de versiones. Fernando adjudicó
los comentarios de Fernando y la forma tan diferente con la parte del éxito al modo de “administrar en función de los
que está administrando su organización, queda anonadada hechos”, una forma de operar que recluta los esfuerzos de todas
por la diferencia que observa en sólo tres meses. Cuando uno las personas de la organización para que sus resultados se tor-
se concentra en mejorar la manera de administrar los cam- nen visibles y difíciles de ignorar. Fernando le dijo: “Cuando
bios, los niveles de servicio y la disponibilidad aumentan, las las organizaciones se administran basándose en los hechos,
situaciones de emergencia disminuyen y todos se sienten más nada se toma como cierto sin supervisión ni medición”.
productivos debido a que emplean el tiempo en proyectos Al escuchar sobre la medición de la tasa de éxito del cam-
estratégicos importantes. bio, a Silvia se le ocurrió una idea. Descubrió la causa que esta-
Los auditores internos están sumamente satisfechos con ba generando prácticamente todo el trabajo no planeado: los
el progreso que Silvia logró en su plan de gestión de parches. cambios fallidos. En función de lo que había observado, esti-
No se esperaba este resultado; ella implementa parches en mó que uno de sus equipos estaba realizando alrededor de 100
sus sistemas con menor frecuencia que antes de la auditoría. cambios por semana y no podía recordar si, durante la semana
Una vez que las observaciones de auditoría se resolvieron y anterior, alguno de esos cambios había tenido éxito sin causar
validaron con éxito, José, uno de los auditores, la llamó y le algún reproceso o trabajo no planeado.
dijo: “Buen trabajo, Silvia. Parece que has logrado un gran “Creo que ahora puedo comprender mejor la tensión
cambio en 90 días. Es verdaderamente notable. ¿Cómo lo cuando diferentes equipos tienen distintas definiciones con
lograste?” respecto a un cambio exitoso”. Pensó en una reunión que
Silvia se pregunta exactamente cómo lo logró. No podía había tenido con varios administradores del centro de datos
decir simplemente que aplicó todo lo que Fernando había al final del día cuando todos los localizadores de la habita-
sugerido porque, en realidad, él nunca le había dicho qué ción comenzaron a sonar. Mientras se dirigía a la puerta, uno
hacer, lo cual fue inmensamente frustrante pero le permitió de sus gerentes comentó con tono cortante: “Esos deben ser
analizar a fondo sus suposiciones. Luego de reflexionar un los programadores que están implementando los cambios del
momento sobre la pregunta, Silvia responde: “Creo que suce- día antes de irse”.
dió en tres etapas clave. ¿Quiere que le cuente más?” José Silvia decidió concentrarse primero en el equipo de
sonríe entusiasmado y asiente con la cabeza mientras busca desarrollo para descubrir cuántos cambios realizaban, cuán-
en su libro de notas. tos de ellos fallaban y por qué fallaban. Les solicitó a todos
Recordando su primera reunión con Fernando, Silvia sus gerentes que enviaran una lista de los problemas operati-
explica: “Salí de esa reunión sabiendo que había muchas vos más importantes que habían surgido en el último trimes-
cosas en las que tenía que pensar. ¿Cuál era la causa de los tre y que clasificaran la causa raíz en fallos de hardware,
incrementos en el trabajo no planeado? ¿Por qué nuestros condiciones ambientales o fallos relacionados con los cam-
proyectos siempre se demoraban y lo hacían cada vez más? bios. Quería descubrir cómo el equipo que realizaba los cam-
¿Fernando se había dado cuenta de algo?” bios decidía si eran exitosos y si sabía o no que estos cambios
Le preguntó a su personal en qué estaban empleando su podrían crear una situación de emergencia para otro equipo.
tiempo. Algunas partes de su organización estaban resolvien- Cuando le mostró un resumen del plan a Fernando, él
do situaciones de emergencia del momento y, por alguna sonrió y le dijo: “Felicitaciones. Estás comenzando a plante-
razón, tal como la proverbial bola de nieve, nunca podían ar las preguntas que todas las organizaciones de TI de alto
terminar con tales situaciones. Muchas de las entrevistas no rendimiento se plantean”. Le preguntó cómo debía ser un
planificadas con el personal fueron interrumpidas por las lla- proceso de gestión del cambio eficaz. Silvia pudo identificar
madas de los localizadores que indicaban algún corte o inte- algunos aspectos clave.
rrupción de servicio y la conversación se debía suspender “¡Muy bien!”, respondió Fernando. “Entonces, ¿qué
antes de tiempo. vas a hacer para corregir los procesos deficientes y así
Silvia comenzó a preguntarse qué estaba generando esta alcanzar tus metas?”
cultura de urgencia continua y comenzó a seguir a los emple- Silvia describió cómo sus esfuerzos recientes le permitie-
ados para ver qué hacían cuando respondían a las llamadas ron “estabilizar al paciente”. Redujo o eliminó el acceso para
de los localizadores. Durante dos semanas, empleó el 50 por tomar control de las fuentes de cambios no planificados y
ciento de su tiempo en observar a sus gerentes, tratando de propensos a errores. En las dos semanas anteriores, documen-
imaginarse en qué estaban empleando el tiempo. tó un nuevo proceso de gestión del cambio, notificó a todas
“Observar de cerca a mis equipos fue sumamente esclare- las partes interesadas, creó un equipo para llevar a cabo el
cedor. Pero hubo otra reunión con Fernando que confirmó mi cambio y ventanas de cambio para controlar mejor lo que se
pronóstico”. Fernando había regresado de Europa y le comen- hacía y el momento en que se hacía y “electrificó la barrera”
tó a Silvia sobre los procesos maduros y eficientes de TI que para asegurarse de que todo el personal de TI se sintiera com-
había observado en los socios joint venture que su personal pletamente responsable de las “mejoras” que realizaban.
estaba auditando. Esta empresa europea tenía uno de los mejo- Ahora su lema es “Confiar pero siempre verificar”. Todos
res resultados de mediciones en la industria, como tiempo pro- parecían haber captado el mensaje y las nuevas reuniones
medio de reparación bajo (MTTR, en inglés), tiempo semanales de gestión del cambio la ayudaron a asegurarse
promedio entre fallos alto (MTBF, en inglés), tasas de éxito que se aplicara el sistema de rastreo de solicitudes existente
del cambio superiores al 98%, así como también, el logro más y a mejorar las comunicaciones internas.
sorprendente: una proporción administrador de sistema/servi- De hecho, la mayoría de sus problemas giraban en torno
dor alta debido a que la mayor parte del trabajo se realiza en el a los cambios fallidos. Los nuevos controles fueron suma-
25
mente eficaces. Silvia recordó que le había enviado al equi- llo de una biblioteca de compilación repetible de los activos y
po un mensaje de felicitaciones anunciando que no habían servicios más críticos, con lo cual se reduce el costo de repara-
surgido “sorpresas” durante los últimos cinco días, una situa- ción de tales elementos”.
ción poco común. (Cuando generó algunos reportes para Silvia acepta que la orientación que le dio Fernando la
averiguar cuándo había sucedido eso por última vez, se son- ayudó a comprender lo que José le está diciendo. Espera fina-
rió y decidió guardar en secreto los resultados. La última vez lizar su plan de acción y debatirlo con Fernando antes de la
que los niveles de servicio alcanzaron esta eficiencia fue el próxima reunión del comité de auditoría. “Ahora me doy
verano pasado cuando este mismo equipo tuvo un trabajo de cuenta de que la gestión ineficaz del cambio hizo que mi
TI fuera de la oficina, lejos de sus teclados). equipo viera al proceso como algo burocrático y, por lo tanto,
Silvia ahora tenía una estadística que mostraba la cantidad lo ignorara”. Cuando Silvia pudo demostrarles que el 80 por
de cambios no planificados y el tiempo improductivo y un ciento de las interrupciones eran causadas por errores de la
reporte con los nombres de los proyectos y de las personas que aplicación o de los operadores, comenzaron a comprender
causaron problemas desde que se implementó el nuevo proceso. por qué el departamento luchaba por asignar personas a los
El personal de Silvia había identificado la mayoría de las proyectos de desarrollo de preproducción. José le agradece a
causas del tiempo improductivo y ahora tenía un plan de Silvia por su tiempo, cierra su libro de notas y se va.
“respuesta inmediata” para poner el equipo en funciona- Silvia está ansiosa por revisar su plan con el comité de
miento en la mitad del tiempo. Su equipo necesitaba sólo el auditoría la semana próxima. En función de los resultados
20 por ciento del tiempo improductivo para identificar la del nuevo proceso de gestión del cambio durante los últimos
causa de la interrupción y empleaba el 80 por ciento en solu- 60 días, ella calcula que podrá redireccionar los esfuerzos de
cionarla. Anteriormente, se empleaba mucho tiempo en dos o tres personas que actualmente manejan la gestión de
identificar qué había cambiado, quién lo había cambiado y parches y de otra persona que se dedica a diagnosticar las
por qué. Silvia reconoció que ese proceso era ineficiente. causas del tiempo improductivo y las etapas de corrección.
Silvia le comenta a José: “Quiero comenzar a emplear la Silvia cree que puede reasignar a tres miembros del per-
tasa de éxito del cambio para cada proceso de negocios y sonal al nuevo proyecto de servidor Web para órdenes de
activo de TI de manera que pueda aprender del desempeño cliente y llegar a implementarlo correctamente antes de las
anterior y evitar la implementación de cambios histórica- vacaciones, en lugar de hacerlo a principios de año. Le
mente riesgosos”. comenta a Fernando: “El equipo de marketing proyecta un
Mostrando curiosidad acerca de la participación del per- incremento del 20 por ciento en las órdenes previas a las
sonal en el nuevo proceso, José le pregunta: “¿Cómo sabes si vacaciones a través de este proceso si tenemos éxito. Es una
en verdad todos están siguiendo el proceso?”. muy buena noticia para el consejo. Y este es sólo el comien-
Silvia le explica que el grupo de operaciones de TI zo”. Silvia le dice a Fernando. Durante una revisión de cen-
publica una lista de cambios autorizados. Además, ha “elec- tro de datos por incumplimientos, su equipo de auditoría no
trificado la barrera” para asegurarse de que se siga el proceso. encontró ninguna discrepancia entre nuestros estándares de
Ha implementado controles de detección para informar configuración de TI y nuestros servidores de producción. No
todos los cambios de producción, que luego se deben conci- sólo los miembros de mi equipo adoptaron el nuevo proceso
liar con la lista de cambios autorizados. Cuando se detectan de gestión del cambio, sino que también instalaron software
cambios no autorizados, se envía un mensaje a todo el equi- automático para evitar y detectar variaciones entre los están-
po de ingeniería para comunicarle que tiene cuatro horas dares y los parámetros actuales de configuración mejorando
para que alguien explique por qué realizó un cambio no auto- significativamente la seguridad de nuestra información”.
rizado antes de activar una investigación de seguridad. No obstante, Fernando no está convencido y señala que
José le pregunta si todos desarrollan planes de “restaura- Silvia no puede administrar lo que no puede medir, y que eso
ción” antes de autorizar la implementación de los cambios. que se puede medir, es lo que en definitiva se debe hacer.
Silvia confirma esto y comenta que han logrado beneficios Silvia describe las medidas clave de su proceso de versiones,
medibles al definir por anticipado cómo recuperarse ante un control y resolución y de otros procesos. Entiende que si su
problema, en lugar de intentar hacerlo durante el momento personal no puede describir los procesos ni realizar las medi-
candente de la recuperación. José la felicita y está ansioso por ciones con respecto a estos, no sabrá qué está haciendo.
comentar sus éxitos con los demás gerentes de TI y departamen- Fernando parece impresionado y dice: “No está mal,
tos. Silvia. Suena como un gran plan”.
Silvia se siente gratificada pero sabe que hay mucho más Por primera vez en sus conversaciones con Fernando,
por hacer. Entonces, recuerda el consejo de Fernando: “Ahora Silvia se siente como si finalmente ha aprobado el examen.
que has comenzado a controlar cómo se realizan los cambios Pero no puede resistirse a hacer una pregunta que ha tenido
en la producción para reducir la probabilidad de trabajo no en mente desde que conoció a Fernando. “A propósito,
planeado, necesitas hacer un inventario de todos los activos ¿cómo sabe tanto de gestión de cambios?”
de infraestructura e identificar aquellos que generan la mayor Fernando le responde: “Como antes mencioné, soy una
parte del trabajo no planeado”. Como un especialista en fauna persona de negocios que trabaja en auditoría interna. En
que controla la manada de venados, Silvia debe supervisar ABC Telecom, estaba en TI y era el responsable de infraes-
cada activo para descubrir cuáles están funcionando, qué ser- tructura y operaciones. Conseguí ese trabajo gracias a que
vicios dependen de ese activo, quién es el responsable y cuán pude demostrar mi habilidad para instalar procesos repetibles
frágil es el artefacto. “Tener un inventario no sólo ayuda en la y verificables, en los que la seguridad, la disponibilidad, la
gestión de problemas sino que también contribuye al desarro- calidad y el valor se incorporaban a los procesos y se medían
26
en el curso normal de los negocios. Sin esto, no podíamos

prestar nuestros servicios y mantener nuestros clientes. Tomé
este trabajo para aplicar el mismo proceso de ideas en toda la
empresa, no sólo en TI. Existe una verdadera necesidad de
garantizar que todos nuestros procesos de negocios y sistemas
de respaldo incluyan los controles necesarios para que no se
produzcan errores como sobrepagos a proveedores, estados
financieros erróneos o demoras en la entrega de sistemas y
servicios. ¿Dónde mejor que el departamento de auditoría
interna, con el respaldo total de la gerencia y del comité de
auditoría del consejo, para lograr esto?”
27
GTAG — ¿Por dónde deben comenzar los auditores internos? — 7
Según el Enfoque Integral de Gestión de Riesgo Empresarial también pueden mostrar las solicitudes de cambios
(Enterprise Risk Management - Integrated Framework), la recientemente autorizados y programados. Cada
gerencia establece los objetivos estratégicos, selecciona las solicitud de cambio debe tener un identificador
estrategias y difunde los objetivos alineados en toda la único y una persona responsable.
empresa. El enfoque de gestión de riesgo empresarial se • Controles de detección.
orienta hacia el logro de los objetivos de la entidad en cua- – Supervisión y monitorización:
tro categorías: estrategias, operaciones, generación de repor- • Métodos automáticos para detectar si los cambios
tes y cumplimiento. Se deben diseñar e implementar realizados en la producción están presentes y si se
controles preventivos, de detección y de corrección para revisaron independientemente. Podrían ser
ayudar a garantizar que las respuestas a los riesgos se lleven a registros de auditoría de cambios o utilidades que
cabo con eficacia. La auditoría puede ayudar a garantizar que analizan la infraestructura de producción para
la gestión de TI cuente con un proceso eficaz para adminis- encontrar los cambios.
trar los riesgos asociados con el logro de los objetivos. Entre • Cambios en el equipo de producción registrados
los ejemplos de los tipos de objetivos de gestión de cambios en registros de trabajo, tickets de trabajo y órdenes
que la gestión de TI debe definir, se encuentran aquellos para de cambio. Estos deben identificar la fecha, la
la revisión y aprobación de solicitudes de cambio, que garan- hora, el implementador y el sistema junto con los
tizan que los cambios se implementen de manera adecuada y detalles de los cambios realizados.
eficaz, y que ayudan a garantizar que TI pueda efectuar una • Los cambios se deben revisar para garantizar que
recuperación rápida cuando los cambios fallan. no exista variación entre el cambio planificado y
Los controles preventivos, de detección y corrección se el cambio implementado. Las variaciones se deben
deben deducir de los objetivos de la gerencia para la gestión informar y explicar.
de cambios de TI. La gestión de TI debe demostrar que los • Aceptación de cambios implementados,
siguientes controles existen y son eficaces [Tipton 00]: documentando la correlación entre los cambios
• Controles preventivos. detectados y los cambios implementados,
– Autorización de cambios. indicación de una implementación exitosa,
• Documentación que muestra el proceso de gestión aceptación por parte de un gerente de cambios y
de cambios, incluidos los roles y las responsabilidades cierre de la orden del cambio.
de los participantes.. – Muestreo sustantivo para auditar la exactitud de las
• Documentación que muestra los propietarios conciliaciones entre los cambios de producción y los
autorizados para todos los procesos de negocios y cambios autorizados.
los sistemas de TI de respaldo, con niveles • Muestra de solicitudes de cambios autorizados.
asignados de autorizaciones. Recorrer el proceso de gestión de cambio para
– Separación de roles. garantizar que los cambios se hayan implementado
• Documentación que muestra la clara asignación y dentro del alcance del cambio autorizado.
separación de los roles y las responsabilidades de • Muestra de controles de detección correspondiente
las partes interesadas en la gestión de cambios, a los cambios. Garantizar que los cambios se puedan
incluida la autorización, la planificación, la asignar al trabajo autorizado.
implementación y la revisión de cambios. • Controles de corrección y de recuperación.
• Políticas claras que describen las categorías y los – Se identifican todos los cambios realizados fuera del
niveles de cambios y los grados de formalidad, proceso de gestión de cambio. La documentación
aprobación y severidad asociados con el avance de describe las acciones correctivas y lógicas tomadas.
los cambios dentro de cada categoría desde la – Revisiones posteriores a la implementación sobre los
iniciación hasta la etapa de implementación. cambios realizados, en función del grado del cambio,
• El acceso para realizar cambios en la producción importancia de las actividades comerciales que
está estrictamente limitado a las personas sufrieron cambios y la significatividad de los riesgos
responsables de implementar los cambios. Todos potenciales para el negocio.
los demás empleados, como por ejemplo los – Cuando los cambios fallan, los gerentes de problemas
programadores, no poseen tal acceso. primero descartarán el cambio en el ciclo de
• Programas de capacitación y difusión para reparación mediante el acceso a los cambios autoriza
promover una cultura de la gestión del cambio. dos y planificados y mediante la revisión de los
– Supervisión y monitorización. cambios de producción en la infraestructura afectada.
• Documentación que muestra que el proceso de Para lograr el éxito, la gerencia se debe alinear con las
cambios está siendo controlado, supervisado e inquietudes de los accionistas, representados por el consejo
implementado de manera eficaz. En todo momento, de administración. Se deben alcanzar los objetivos de la
debe existir una lista publicada de cambios empresa, que, en general, son objetivos relacionados con la
autorizados, así como también una lista de cambios participación de mercado o ingresos, con el crecimiento del
no autorizados, generada mediante la conciliación precio de las acciones o del negocio o con la contención de
de los cambios reales de producción y los cambios los costos de personal y operaciones. Se deben formular pla-
autorizados. nes para alcanzar los objetivos y se deben desarrollar de
• Las actas de las reuniones de la gestión del cambio manera eficaz en toda la organización para tener la posibili-
28
dad de lograr el éxito. El Comité de Auditoría desea asegu- tión del cambio. (Consulte el Cuadro 2, página 21,
rarse de que la gerencia haya identificado y evaluado los ries- para obtener preguntas útiles que podrá realizar).
gos que podrían impedir el logro de los objetivos. Se deben 2. Se deben utilizar los indicadores de procesos de gestión
adoptar procesos sólidos para mitigar, administrar, aceptar o del cambio eficaz e ineficaz (consulte las Secciones
transferir los riesgos eficazmente. La variación del plan tam- 3.2, página 10, y 3.3, página 11) y los niveles de capa-
bién es un riesgo que se debe manejar de manera activa. Los cidad proporcionados en esta guía (consulte la Figura
auditores internos son los ojos y oídos de la gerencia, a tra- 4, página 24) para evaluar la eficacia relativa de los
vés de ellos se busca detectar las áreas del entorno de gestión procesos de gestión del cambio correspondientes a la
de riesgos que necesitan fortalecimiento. organización. Realice una revisión del proceso de ges-
Para la mayoría de las empresas, la no disponibilidad de tión del cambio y busque los elementos clave descrip-
servicios y funciones críticas, incluso durante breves perío- tos en esta guía. Se debe comprender cómo la
dos de tiempo, es una de las maneras más rápidas de inte- administración de TI mide el proceso y si este respon-
rrumpir el progreso hacia el alcance de los objetivos del de verdaderamente a las necesidades del negocio.
negocio. El tiempo de inactividad de la red inesperado puede 3. Se debe obtener una ficha de evaluación de la admi-
detener la ejecución de los procesos críticos de negocios, nistración de TI para medir los resultados y la eficacia
como la coordinación de calendarios de materiales con pro- del proceso. Se debe determinar si se están utilizando
veedores y la respuesta rápida a órdenes del cliente. Del las mediciones adecuadas para supervisar el proceso e
mismo modo, el tiempo de inactividad en una aplicación crí- impulsar mejoras continuas. (Consulte la Tabla 1,
tica, base de datos o servidores Web puede ser destructivo. página 16).
Los auditores internos, junto con la gerencia, desean asegu- 4. Se debe determinar si la administración de TI ha asig-
rar que estos riesgos y los riesgos relacionados se hayan iden- nado la responsabilidad de la gestión del cambio a un
tificado, medido y administrado correctamente. Pero, ¿cómo empleado que no sea el programador de software ni el
puede administrar dichos riesgos si no ha identificado ni ana- encargado de preparar los cambios. ¿La administración
lizado sus causas? ha asegurado el entorno de producción de manera que
Proteger el entorno de producción y respaldar a la orga- sólo las personas responsables de implementar cambios
nización mientras se persiguen los objetivos de negocio son puedan efectivamente implementarlos?
responsabilidades clave del departamento de TI. Los audito- 5. Se debe realizar una breve revisión para determinar si
res internos tienen la responsabilidad de garantizar que se existen pistas de auditoría de los cambios en el entor-
desarrollen procesos adecuados de gestión de riesgos, incluso no de producción y que dichas pistas de auditoría no
dentro de TI. A esos fines, la importancia de un proceso de puedan ser manipuladas ni destruidas.
gestión del cambio eficaz no puede subestimarse y los audito- 6. Al realizar auditorías de control de cambios, se deben
res internos deben considerar la posibilidad de efectuar revi- buscar indicadores de gestión del cambio eficaz, tal
siones regularmente. como se muestra en el ejemplo de programa de audito-
ría del Apéndice A (página 32). Debe concentrarse en
7.1 El rol de la auditoría en el proceso de los riesgos del negocio causados por el fallo en alcanzar
gestión de cambios los objetivos de control, que están basados en los
Dado que los auditores internos, por lo general, no tienen Objetivos de Control de Información y Tecnología
tiempo para revisar todas las facetas de las organizaciones en Relacionada (en inglés, COBIT).
las que trabajan, deben desarrollar planes de auditoría en 7. Se debe ayudar a la administración a identificar los
función de una evaluación de riesgos. Para poder evaluar los modelos con los que se puede mejorar el enfoque hacia
riesgos de negocios dentro de TI, los auditores deben recopi- la gestión del cambio. Un ejemplo es el libro Visible
lar información preliminar. A continuación se detallan las Ops Handbook: Starting ITIL in Four Practical Steps
tareas que deben llevar a cabo los auditores para determinar [ITPI 04], descrito en el Apéndice B (página 39). Esta
el nivel relativo de riesgo de negocio asociado con las prác- guía concisa contiene información útil sobre cómo es
ticas de la gestión del cambio de la organización y si se debe una organización de TI de alto rendimiento y cómo
realizar una revisión profunda o de nivel avanzado de la ges- mejorar un bajo rendimiento. Presenta el proceso de
tión del cambio: mejora en cuatro etapas:
1. Se deben comprender los componentes básicos de la • Estabilizar al paciente.
gestión del cambio. El término gestión del cambio, tal • Buscar artefactos frágiles.
como se utiliza en este documento, no incluye todo el • Crear una biblioteca de compilación repetible.
proceso del ciclo de vida del desarrollo de sistemas, • Mejora continua.
como el desarrollo de aplicaciones o la gestión de con- 8. Cuando la organización considera la posibilidad de ter-
figuración. No obstante, la gestión del cambio debe cerizar funciones de TI a un proveedor de servicios, se
reflejar e integrarse con el proceso del ciclo de vida del debe verificar que las expectativas de la organización
desarrollo de sistemas (y controles relacionados). estén claramente identificadas en los acuerdos de niveles
Comprender el contenido de esta guía le proporciona de servicio (SLA, en inglés) y en los contratos. Es impor-
el conocimiento suficiente como para realizar las pre- tante garantizar que se tengan en cuenta los siguientes
guntas difíciles relacionadas con la organización de TI puntos respecto del proceso de gestión del cambio:
y así poder entender el nivel de mejora que posible- • ¿Quién es el responsable de administrar interna-
mente se necesite en el proceso y los controles de ges- mente los cambios diarios que surgen a partir de
29
las solicitudes de cambios?

• ¿Cómo sabe la organización si los cambios fueron
realizados por el proveedor de servicios fuera del
proceso de gestión del cambio acordado?
• ¿Qué control tiene la organización sobre el prove-
edor de servicios para asegurarse de que este no
realice cambios no autorizados o ilógicos? ¿Cómo
sabe la organización si se efectuaron dichos
cambios?
• ¿Cómo se evita que el proveedor apruebe cambios
fuera de los períodos de tiempo de la ventana de
cambio, con el consiguiente impacto en el servicio
(aplicaciones no disponibles cuando se necesitan)
y en el costo (o pérdida de ingresos)?
• ¿Quién es el responsable de garantizar que los
cambios de negocio importantes que afectan a TI
se hayan evaluado, aprobado, planificado, con-
trolado, implementado y revisado adecuadamente?
• ¿El proveedor ha considerado los impactos en la
infraestructura (sistema y red) y en la seguridad
de la información como parte de la evaluación de
cada cambio?
• ¿La organización ha identificado quién, entre sus
integrantes, es la persona que pertenece a los
comités de control de cambios del proveedor?
• ¿Quién supervisa el cumplimiento de los acuerdos
de niveles de servicio?
• Para los sistemas dentro del alcance del artículo
404 de la Ley Sarbanes- Oxley u otras regulacio-
nes, el acuerdo de niveles de servicio también
debe incorporar prácticas requeridas, procedi-
mientos de validación, cálculos de tiempo de la
prueba requerida, trabajo de corrección, repeti-
ción de pruebas y otras consideraciones.
9. Al debatir y escribir las observaciones de auditoría, se
debe presentar el valor de negocio de los procesos de
gestión del cambio eficaces, además de los riesgos de
los procesos ineficaces. Se deben articular claramente
los riesgos de operaciones, financieros y reglamenta-
rios, que no se están administrando adecuadamente y
vincular los resultados con las tolerancias de riesgos
que ha establecido la administración para respaldar las
metas y los objetivos del negocio. Se debe evitar con-
centrarse en la tecnología, excepto cuando se hayan
automatizado ciertos controles del proceso de gestión
del cambio. En cambio, se le debe recordar a la admi-
nistración que la gestión del cambio está basada en
procesos, tiene un enfoque de gestión y humano, y está
respaldada por controles técnicos y automáticos.
11
ITIL es marca registrada en la Oficina de Comercio de Gobierno (en inglés, OGC).
30
GTAG — ¿Dónde puedo obtener más información? — 8
Best in Class Security and Operations Round Table Report, Julia

Allen, Kevin Behr, Gene Kim, et al., (CMU/SEI-2004-SR-
002). Pittsburgh, PA: Software Engineering Institute, Carnegie
Mellon University, marzo de 2004. Disponible a través de los
autores mediante solicitud.
Capability Maturity Model® Integration (CMMI®).
Carnegie Mellon University, Software Engineering Institute.
Disponible en http://www.sei.cmu.edu/cmmi/cmmi.html.
Chrissis, Mary Beth, et al. CMMI®: Guidelines for Process
Integration and Product Improvement. Addison Wesley,
2003. Consulte específicamente el área de proceso de gestión
de configuración.
COBIT [Control Objectives for Information and related
Technology] 3rd Edition Executive Summary, Framework,
Control Objectives, Audit Guidelines, and Management
Guidelines, julio de 2000. Disponible en http://www.itgi.org y
http://www.isaca.org. Consulte específicamente AI-6:
Acquisition and Implementation: Manage changes y DS-9:
Delivery and Support: Manage the configurations.
Information Technology Infrastructure Library (ITIL)® 11.
Office of Government Commerce. Vaya a
http://www.ogc.gov.uk/index.asp?id=2261 y
http://www.itsmf.com. Consulte específicamente el volumen
Best Practice for Service Support, Capítulo 8, Change
Management (2000).
ISO/IEC 17799 Information Technology Code of Practices
for Information Security Management, First Edition. ISO/IEC
17799:2000(E). Diciembre de 2001. Consulte específicamente
las secciones 8.1.2 Operational change control, 10.5.1 Change
control procedures, 10.5.2 Technical review of operating system
changes y 10.5.3 Restrictions on changes to software packages.
Microsoft Service Management Functions Operations
Guide: Change Management. Microsoft Corp., 2004.
Disponible en http://www.microsoft.com/technet/itsolutions/tech-
guide/msm/smf/smfchgmg.mspx.
Systems Assurance and Control (SAC). The Institute of
Internal Auditors Research Foundation, Agosto de 2003.
Información e índice disponibles en
http://www.theiia.org/esac/index.cfm.
Visible Ops Handbook: Starting ITIL in Four Practical
Steps. Kevin Behr, Gene Kim, George Spafford. IT Process
Institute, 2004. Información disponible en
http://www.itpi.org/visibleops.
31
GTAG — Apéndice A — Programa de auditoría
de gestión del cambio de TI — 9
Proceso, propósito y riesgos – Quién: el cambio fue implementado por una

La gestión del cambio de TI es un proceso para administrar persona no autorizada
cambios en el hardware de producción, en los dispositivos de – Qué: el cambio excede el alcance del cambio auto-
red, en los sistemas operativos y en el software de aplicación. rizado o el cambio pretendido se implementó, de
La administración de una organización utiliza el proceso de manera incompleta.
gestión del cambio de TI para: – Dónde: el cambio se implementó en un activo
• Garantizar que los cambios de TI respondan a las nece- inadecuado.
sidades de la organización y crean valor de negocio. – Cuándo: el cambio se implementó fuera de la ven-
• Anticipar y administrar los problemas que se pueden tana de cambio o ventana de mantenimiento
generar en el entorno de producción como resultado programada.
de los cambios. • Trabajo planeado: Cualquier actividad del trabajador
• Promover la eficacia y la eficiencia de los esfuerzos de que puede ser asignada a un proyecto o procedi-
la gestión del cambio de TI. miento autorizado.
El logro de estos objetivos estratégicos y operacionales de • Trabajo no planeado: Cualquier actividad del trabaja-
alto nivel no está garantizado automáticamente. Los even- dor que no puede ser asignada a un proyecto o proce-
tos, los riesgos clave y otras circunstancias podrían impedir dimiento autorizado.13
que la administración alcance los beneficios de negocio dese- • Incidente que afecta al servicio: Cualquier evento que
ados. Dichos eventos son los siguientes: no forma parte de la operación estándar de un servicio
• Los cambios interrumpen las operaciones y crean otros y que causa, o podría causar, una interrupción o reduc-
problemas. ción de la calidad del servicio. Por ejemplo, falta de
• Los cambios que causan interrupciones u otros proble- disponibilidad de aplicaciones o servicios, inactividad
mas no son detectados ni se rastrea su origen para la del hardware o sistema, deterioro del servicio, etc.
oportuna identificación de las causas y la restauración [ITIL 00].
de los servicios afectados.
• Los cambios no se realizan de manera completa u opor-
tuna.
• Los cambios no se realizan de la manera más eficiente,
lo que genera costos excesivos.
• A pesar de implementar los cambios correctamente,
estos no pueden responder a los requerimientos del
negocio y, por lo tanto, no crean el valor de negocio
deseado.
A continuación, se incluye un ejemplo de un programa de
auditoría que puede ser útil para la administración de TI y
para los auditores internos que deseen evaluar los controles
que podrían mitigar el riesgo inherente a estos eventos.
9.1 Definiciones de la gestión del cambio12:

• Solicitud del cambio: Procedimiento propuesto para
una adición, modificación o eliminación de elementos
aprobados, respaldados o básicos de hardware, red,
software, aplicación, entorno, sistema, compilación de
escritorio o documentación asociada. [ITIL 00]
• Cambio autorizado: Solicitud de cambio para un pro-
cedimiento de cambio que ha sido aprobado por el
Consejo de asesoramiento para el cambio (CAB, en
inglés).
• Cambio no autorizado: Cambio detectado mediante
los controles de detección de producción que no se
puede asociar a un cambio autorizado. Los ejemplos de
las variaciones que podrían generar un cambio no
autorizado son los siguientes:
12
Si la gerencia no desarrolló sus propias definiciones, el auditor y el auditado deben acordar en qué consisten las definiciones a los fines de la auditoría.
13
Lo ideal es que el trabajo planeado y no planeado se mida en lugar de calcularlo. No obstante, incluso cuando se usan las definiciones más informales, la
cantidad de trabajo planeado y no planeado puede resultar un indicador excelente de la eficacia de la organización de TI. Toda interrupción del servicio
representa un trabajo no planeado, al igual que el trabajo originado por un cambio fallido, cambio de emergencia, parche o incidente de seguridad. El tra-
bajo no planeado es aquel que hace que los gerentes de TI reorganicen sus horarios y no permite que los administradores de sistemas puedan llevar a cabo
sus planificaciones diarias.
32
Cuadro 3: Programa de auditoría de gestión del cambio de TI

Referencia
Riesgo Objetivo del control Prueba
en COBIT
Se debe obtener:
• Políticas, normas y procedimientos de gestión del cambio de TI.
• Enumeración de los organigramas departamentales y de personal
donde consten los participantes de la gestión del cambio, espe-
cialmente los responsables del desarrollo y la implementación de
los cambios.
• Información relativa a los proveedores de servicios de terceros
que participan en el proceso, incluidos los acuerdos de niveles
de servicio (en inglés, SLA) y contratos relacionados.
• Diagramas de flujo en los que figure el proceso de gestión del
cambio de TI.
• Inventario y descripciones de los elementos del entorno de
producción alcanzado por la auditoría (por ejemplo, dispositivos
de red, servidores, bibliotecas, bases de datos).
• Mediciones, normas y compromisos de niveles de servicio de las
operaciones de TI, especialmente los que se vinculan directa-
mente con la gestión del cambio y del problema.
• Informes de muestra que indiquen cómo las mediciones, las
normas y los compromisos de nivel de servicio se deben
informar a la gerencia.
• Informes y análisis de los problemas recibidos por la mesa de
servicio.
• Lista de los cambios autorizados.
• Registros de control del cambio.
Es posible La gestión de TI asegu- Se debe establecer que las políticas, normas y procedimientos de AI6.
que el proce- ra que todas las solici- gestión del cambio de TI se apliquen de manera lo suficientemente Gestionar
so de gestión tudes de cambio, el amplia como para asegurar el control de gestión del entorno de los cam-
del cambio de mantenimiento del sis- producción. Se debe comprobar que prevean: bios
TI no contri- tema y el mantenimien- • Diferentes opciones según los costos y riesgos del cambio.
buya adecua- to de los proveedores
damente al sean estandarizados y • Información del caso de negocio que sirva de guía para el esta-
logro de las estén sujetos a procedi- blecimiento de un orden de prioridad para los esfuerzos realiza-
metas del mientos formales de dos en pos del cambio.
negocio. gestión del cambio. La • Una evaluación estructurada de los riesgos y el impacto que
gerencia dispone de tenga en cuenta todos los impactos posibles en el sistema ope-
una visibilidad adecua- rativo y su funcionalidad.
da de los cambios de TI • El establecimiento de categorías y prioridades para los cambios.
realizados al entorno de
la producción y ejerce • El manejo específico de los cambios de emergencia.
un control apropiado • La comunicación con los solicitantes del cambio en relación con
de estos. el estado de su solicitud.
• La definición de los requerimientos.
• Las pruebas (incluyendo las de unidad, regresión, sistema, inte-
gración capacidad/desempeño y la prueba de aceptación de
usuario según corresponda).
33
Cuadro 3: Programa de auditoría de gestión del cambio de TI (continuación)
• La generación y/o modificación adecuadas de la documen-

tación relacionada.
• La comunicación adecuada de los cambios pendientes a las
partes afectadas, entre ellas a la gerencia, los usuarios, los
programadores , los administradores de seguridad, opera-
ciones de TI y al personal de la mesa de ayuda.
• La separación adecuada de los entornos de desarrollo,
prueba y producción.
• La consideración adecuada de las consecuencias de los contro-
les (por ejemplo, que incluya desde un principio la gestión de
seguridad de la información).
• La consideración adecuada de los efectos para la continui-
dad del negocio.
• Las responsabilidades para la investigación de los fallos ,
junto con el proceso de resolución de incidentes.
• Los controles definidos a lo largo del proceso de cambio.
Se deben revisar las mediciones, normas, niveles de servicio, com-

promisos e informes relacionados con las operaciones de TI. Se
debe verificar que proporcionen a la gerencia información inde-
pendiente, oportuna, exacta, completa, concisa y relevante para
determinar los efectos de los cambios y problemas en las opera-
ciones de TI y en última instancia en las metas del negocio. Las
medidas deben incluir:
• La cantidad de cambios autorizados por semana: ¿Cuántos

cambios, según la medición realizada durante el proceso de
gestión del cambio? (En general, cuanto mayor sea la cantidad,
mejor, siempre que la tasa de éxito del cambio también se
mantenga elevada).
• La cantidad de cambios reales realizados por semana: ¿Cuántos

cambios, según las mediciones realizadas por controles de
detección? (En general, cuanto más cambios se realicen mejor,
pero no deben superar la cantidad de cambios autorizados por
el consejo de asesoramiento para el cambio).
• La cantidad de cambios no autorizados: ¿Cuántos cambios sos-

layaron el proceso de cambio? Esto generalmente se mide
usando los controles de detección o, lo que es peor, a través
de interrupciones no planeadas. (Cuanto menos, mejor).
• La tasa de éxito del cambio: ¿Cuántos cambios se implementan

de manera exitosa sin ocasionar interrupciones o episodios de
trabajo no planeado? (Cuanto más, mejor). La tasa óptima
supera el 99 por ciento).
• La cantidad de interrupciones que afectan el servicio: ¿Cuántos

cambios generan deterioros del servicio o interrupciones?
(Cuanto menos, mejor).
• Cantidad de cambios de emergencia: ¿Cuántos cambios necesi-

taron del uso del proceso de cambio de emergencia? (En gene-
ral, cuanto menos, mejor ya que indica un porcentaje más ele-
vado de trabajo planeado).
34
A través de entrevistas, análisis o revisión de los registros de las AI6.2
reuniones, se debe verificar que existe un grupo de gestión, como Evaluación del
un consejo de asesoramiento para el cambio, que se reúne regu- impacto
larmente, revisa las solicitudes de cambio de TI y las aprueba o
rechaza según corresponda. Se debe establecer que los socios
brinden a la gestión una explicación adecuada de los cambios y
control sobre los mismos. Verifique que los usuarios estén inclui-
dos, si corresponde.
Se deben obtener listados de personal y copias de los organigra- AI6.6

mas donde figure el grupo responsable de la gestión e implemen- Mantenimiento
tación de los cambios de TI. Se debe verificar que el grupo sea autorizado
independiente de los responsables de la solicitud y
desarrollo/preparación de los cambios.
Se debe seleccionar una muestra de los cambios introducidos a AI6.1 Inicio y
los elementos de producción dentro del alcance y el término de la control de la
auditoría. Se debe establecer que existe documentación clara que Solicitud de
indique que para la implementación de los cambios se respetaron Cambio
todas las políticas, normas y procedimientos aplicables.
Es posible que Que se aprueben Se debe revisar las políticas, normas y procedimientos para que AI6.2
se implemen- únicamente los establezcan que los cambios requieren la aprobación de la geren- Evaluación del
ten cambios de cambios adecua- cia, incluida la aprobación de las operaciones de TI y de los usua- impacto
TI que no satis- dos. rios comerciales . La aprobación debe requerirse en los puntos
facen las nece- adecuados del proceso de cambio. Por ejemplo, se puede reque-
sidades rir la aprobación por parte de la gerencia correspondiente al final
comerciales de de la preparación del caso de negocio, de la definición inicial de
la gerencia. los requerimientos y/o de determinadas fases de prueba.
Revisar las normas, procedimientos, prácticas y tecnologías de

gestión del cambio de TI para comprobar que antes de la aproba-
ción final:
• Se haya verificado que los requerimientos responden al caso
de negocio para el cambio.
• Se haya cumplido con los requerimientos tal como se evidenció
mediante la prueba.
Revisar las normas, procedimientos, prácticas y tecnologías de AI6.7 Política
gestión del cambio de TI para comprobar que antes de la aproba- de Versión de
ción final, las pruebas hayan demostrado adecuadamente que el Software
cambio no dañará el entorno de producción.
Sólo se imple- Obtener información de control de acceso a los códigos fuente y AI6.6
mentan los cam- ejecutables de producción (una muestra de estos). Comprobar Mantenimiento
bios aprobados. que sólo los responsables de la implementación de los cambios autorizado
puedan modificarlos, añadirlos o eliminarlos.
Revisar las políticas y normas para determinar que se requieran
pistas de auditoría confiables y de fácil revisión de los cambios
operados a los elementos de producción.
Revisar la tecnología de pistas de auditoría y los procesos asocia-
dos. Nadie debe disponer de derechos de acceso permanente
para eliminar o modificar las pistas de auditoría. Estas se deben
administrar para que estén disponibles con el fin de facilitar las
revisiones a corto plazo y para las investigaciones a largo plazo.
Revisar los procedimientos para analizar las pistas de auditoría de
los cambios introducidos a los elementos de producción dentro
del alcance de la auditoría. Comprobar que se requiera revisión
independiente, oportuna, seguimiento de las excepciones y evi-
dencias de la revisión.
35
de gestión del cambio — 9
Revisar las normas, procedimientos, prácticas, y tecnologías de AI6.3 Control

gestión del cambio para determinar que los controles aseguran de los cambios
que los componentes implementados en la producción coinciden
con los componentes desarrollados, probados y aprobados.
Revisar las normas, procedimientos, prácticas y tecnologías de AI6.3 Control

gestión del cambio para determinar que los controles aseguren de los cambios
que los códigos fuente y ejecutables implementados en la produc-
ción coincidan entre sí.
Los cambios imple- Revisar las políticas, normas y procedimientos de gestión del cam- AI6.1 Inicio y
mentados cumplen bio de TI para determinar si los cambios con costo o riesgo signifi- control de la
con los requerimien- cativos requieren la aprobación de los usuarios del negocio en los solicitud de
tos del negocio. puntos adecuados para ello. cambio
Establecer a través de entrevistas y revisiones de la documenta-

ción, que para cada cambio significativo haya una revisión poste-
rior a la implementación que evalúa su eficacia y lo compare con
el caso de negocio aplicado en la iniciación del cambio.
Es posible Los cambios de TI Revisar las normas, procedimientos, prácticas y tecnologías de ges- AI6.7 Política
que los se implementan tión del cambio de TI para verificar que los controles aseguren: de Versión de
cambios de siguiendo una Software
TI ocasio- secuencia adecuada • Que los cambios se implementen de forma periódica como
nen proble- y sin interferir con versiones y no como modificaciones aisladas al entorno de
mas de otros cambios. producción.
producción.
• Que los cambios que puedan afectarse entre sí estén sincro-
nizados adecuadamente (por ejemplo, que sólo un programa-
dor por vez modifique un módulo dado).
CLos cambios se Se debe comprobar que la gestión del cambio, el control y la dis- AI6.3 Control
implementan de tribución del software se integren de forma adecuada con un sis- de los cambios
forma exacta y tema integral de gestión de configuración.
según lo planeado.
Revisar las políticas, normas y procedimientos de gestión del cam-
bio de TI para asegurar que los cambios documenten de forma ade-
cuada los pasos necesarios para la implementación del cambio.
Verificar que el sistema utilizado para supervisar los cambios intro- AI6.3 Control
ducidos a los sistemas de aplicación sea automático para respal- de los cambios
dar el registro y seguimiento de los cambios efectuados a
sistemas de información amplios y complejos.
Las operaciones de Revisar las políticas, normas y procedimientos de gestión del cam-
TI se pueden recu- bio de TI para verificar que los cambios tengan la documentación
perar de forma efi- adecuada para dejarlos sin efecto , antes de su puesta en escena
ciente y eficaz de los en producción.
problemas relaciona-
dos con el cambio.
Revisar las políticas, normas y procedimientos de gestión del cam- AI6.3 Control
bio de TI para verificar que los cambios documenten exhaustiva- de los cambios
mente qué se cambió, cuándo y quién lo hizo. Todos los cambios
deben contar con una organización exacta en todo momento (por
ejemplo, en su desarrollo, implementación retiro, cancelación, etc.).
Dicha documentación debe ser de una exactitud confiable y de
fácil acceso.
36
Es posible que Los procesos de cam- Revisar las normas y procedimientos de la gestión del
las operaciones bio y de gestión de cambio para comprobar que cada cambio registre de
de producción problemas están inte- forma explícita todos los problemas para cuya solución fue
no se recuperen grados. diseñado.
eficientemente
de los problemas
ocasionados por
los cambios.
Revisar las normas y procedimientos de la gestión del pro-

blema para comprobar que cada problema registre de
forma explícita todos los cambios que hayan originado o
contribuido a dicho problema.
Los cambios que Los cambios de emer- Verificar que las políticas, normas y procedimientos de AI6.4 Cambios
se deben imple- gencia se implementan gestión del cambio de TI establezcan parámetros para de emergencia
mentar más rápi- de tal manera que se definir cambios de emergencia y procedimientos para
damente de lo preservan los controles controlar dichos cambios cuando soslayan el proceso
previsto por el de cambio. normal de evaluación técnica, operativa y de gestión, antes
ciclo normal de de la implementación.
cambio pueden
evitar o compro-
meter los contro-
les de cambio.
Revisar los procedimientos de los cambios de emergencia

para comprobar que se puedan implementar de forma
rápida, eficaz y de manera que se preserve la responsabili-
dad, identificación y revisión independiente.
Seleccione una muestra de cambios de emergencia reali- AI6.4 Cambios

zados durante el plazo de la auditoría y verifique que: de emergencia
• El cambio resultaba necesario por una emergencia
verdadera:
• Se siguieron procedimientos de emergencia.
• La gerencia de TI los registró y autorizó antes de su
implementación.
• Se notificó rápidamente a la gerencia adecuada de las
áreas afectadas.
• Se detectaron los cambios no aprobados y las excep-
ciones se elevaron al nivel correspondiente y se resol-
vieron con premura.
• Todo la limpieza necesaria se realizó con prontitud.
• Los manuales del usuario se actualizaron con los cam-
bios que afectan la interfaz de usuario, el funcionamiento
del programa, la seguridad y otros cambios.
37
Las Tablas 4 y 5 muestran los roles típicos y los cargos Como se observó en la Sección 4.5 “Integración de la
asociados a estos, además de las obligaciones que no se deben Gestión de Parches a la Gestión de Cambio” (página 18),
combinar. Los auditores reconocerán rápidamente los para- cuanto más complejo y dinámico es el entorno de produc-
lelos de estas pautas y las pautas típicas del procesamiento de ción de TI, mayor es la necesidad de aplicar controles efica-
transacciones. Por ejemplo, aquellos que administran la ces. Dado que la cantidad de personas que implementan
infraestructura no deben auditarla. Aquellos que implemen- cambios y las tasas de cambio se incrementan, también lo
tan el cambio no deben aprobarlo. Aquellos que crean la hace la necesidad de aplicar monitorización y supervisión
aplicación no deben probarla, ejecutarla ni operarla. automáticas e independientes.
Cuadro 4: Roles típicos

Roles en el ciclo de vida del cambio Títulos y roles típicos
Solicitante del cambio Unidad de negocio, operaciones de TI, seguridad, gerente de
servicio.
Preparador del cambio Investigación y desarrollo, administrador de bases de datos,
equipo de desarrollo de aplicaciones, programador de apli-
caciones.
Aseguramiento de calidad, equipo de armado y preparación,
equipo de preproducción, equipo de plataforma.
Aprobación del Cambio Gerente del cambio, consejo de asesoramiento para el cam-
bio, comité de control del cambio, dirección de gestión del
cambio.
Implementador del cambio Operaciones de TI, operaciones de redes, ingeniería de
redes, administradores de sistemas, seguridad.
Revisor del cambio Gestión de las operaciones de TI, consejo de asesoramiento
para el cambio, seguridad, auditoría.
Auditoría del cambio Gestión de las operaciones de TI, consejo de asesoramiento
para el cambio, seguridad, auditoría.
Cuadro 5: Separación de funciones

Para cada cambio… Debe ser independiente de…
Los implementadores Los solicitantes
Los operadores del entorno de producción Los preparadores
Los evaluadores Los preparadores
Los implementadores Los preparadores
Por lo menos uno de los responsables de la aprobación Los preparadores

Por lo menos uno de los responsables de la aprobación Los solicitantes
Por lo menos uno de los responsables de la aprobación Los implementadores
Los revisores Los implementadores
El auditor Todos los mencionados precedentemente
Fuentes: COBIT Control Objectives, 3º Edición, julio 2000: Planning & Organization 4 (P04), página 42, ISO/IEC
17799:2001, Auditors Guide, Sección 8.1.4. Segregation of Duties
38
GTAG — Apéndice B — Metodología de Operaciones Visibles — 10
La Metodología de Operaciones Visibles, publicada por el iniciar sesión en las infraestructuras más del 50 por
Instituto de Procesos de TI (ITPI, en inglés), brinda una ciento del tiempo.
orientación para los gerentes de TI sobre cómo desarrollar 4. Crear el equipo para llevar a cabo el cambio: En los
procesos auditables y aceleradores en cuatro etapas. En la pasos anteriores, hemos comenzado a especificar el
primera etapa, se desarrolla un proceso de gestión del cambio camino correcto para el cambio y hemos desarrollado
viable atacando a los principales contribuyentes del trabajo los mecanismos para garantizar que se siga el proceso.
no planeado (por ejemplo, interrupciones autoimpuestas, En este paso, creamos el camino correcto para ir del
períodos de reparación prolongados debido a la ausencia de cambio deseado al cambio autorizado. Creamos un
información de cambios, etc.). Para “estabilizar al paciente”, Consejo de asesoramiento para el cambio (en inglés,
debe hacer lo siguiente: CAB), compuesto por las partes interesadas relevantes
1. Reducir o eliminar el acceso: Retirar a todos de los de cada servicio de TI crítico. Estas partes interesadas
activos a menos que estén autorizados formalmente a son las personas que están mejor preparadas para tomar
realizar cambios. Dado que estos activos tienen bajas decisiones con respecto a los cambios debido a su
tasas de éxito del cambio, debemos reducir la cantidad conocimiento sobre los objetivos de negocio y los ries-
de reintentos. gos técnicos y operacionales.
a. Documentar la nueva política del cambio: 5. Crear un sistema de seguimiento de la solicitud de
Nuestra política de cambio recomendada es muy cambio: Un requisito previo para cualquier proceso de
simple: “No realizar absolutamente ningún gestión del cambio eficaz es la habilidad de rastrear las
cambio en este activo a menos que yo lo autorice”. solicitudes de cambio (RFC, en inglés) a través del
Esta política es nuestro control preventivo y crea proceso de autorización, implementación y verifica-
una expectativa de comportamiento. ción. Los sistemas de manuales impresos en papel rápi-
b. Notificar a las partes interesadas: Una vez damente se tornan poco prácticos cuando la
establecida la política de cambio inicial, se debe organización es grande o compleja o cuando existe una
notificar a todas las partes interesadas acerca del gran cantidad de cambios. Por eso, la mayoría de los
nuevo proceso. Asegúrese de que todo el personal grupos utilizan medios computarizados para rastrear las
lo vea. Envíelo por correo electrónico al equipo. solicitudes de cambio y asignar los números de órdenes
Imprímalo. Agréguelo a los carteles de inicio de de trabajo. Algunos se refieren a estas aplicaciones
sesión. Publíquelo en el sitio Web o en la página como “sistemas de emisión de boletos” o “sistemas de
de inicio del portal de Intranet. flujo del cambio”. Cualquiera sea la manera de rastre-
2. Electrificar la barrera: Para hacer cumplir el nuevo pro- ar los cambios que adopte, no permita que el uso de la
ceso de gestión del cambio, debe electrificar la barrera y tecnología suplante la necesidad de un proceso sólido.
asegurarse de que todos los cambios de producción se 6. Inicio de las reuniones semanales sobre gestión de
detecten y se correlacionen con los cambios autorizados. cambio (para autorizar el cambio) e informes de cam-
Cuando se detectan cambios no autorizados, utilícelos bio diario (para anunciar los cambios): Ahora que
para reforzar el proceso de cambio y refuércelo constan- hemos identificado las partes interesadas en los cam-
temente. Por ejemplo, “Equipo, quiero ser claro en esto: bios mediante la creación de un consejo de asesora-
estos procesos se desarrollaron para lograr el éxito de miento para el cambio, el próximo paso es crear un
todo el equipo y no sólo el éxito individual. Por lo tanto, foro para que se puedan tomar decisiones sobre los
cualquiera que realice un cambio sin autorización soca- cambios solicitados. El Consejo de asesoramiento para
va el éxito del equipo y tendremos que hacer frente a el cambio (CAB) autorizará, denegará o negociará un
eso. Como mínimo, tendrá que explicarle a todo el equi- cambio con el solicitante. Los cambios autorizados se
po por qué realizó un cambio no autorizado. Si esto se programarán, se implementarán y, finalmente, se veri-
repite, probablemente esa persona quede suspendida por ficarán. El objetivo es crear un proceso que permita un
un día y, con el tiempo, es posible que no sea más parte rendimiento superior y exitoso del cambio para la
de este equipo”. organización con la menor cantidad posible de proce-
3. Modificar la primera respuesta: clave para la acelera- sos burocráticos. Si bien puede parecer anormal al
ción: Para garantizar que el proceso de gestión del principio, con la práctica, se pueden lograr reuniones
cambio le devuelva el valor a la organización, integre de gestión del cambio de 15 minutos una vez por sema-
el proceso de gestión del cambio con la función de ges- na. En especial, trate de evitar la actitud de inmedia-
tión de problemas. Asegúrese de que los administrado- tez y poca importancia, que hace que las personas
res de problemas tengan toda la información realicen cambios que soslayan el proceso de aproba-
relacionada con el cambio cuando trabajan con los ción del cambio. Si facilitamos el flujo de todos los
problemas. Dado que el 80 por ciento de las interrup- cambios a través de nuestro proceso, será más fácil uti-
ciones se debe a los cambios y el 80 por ciento del lizar el proceso que soslayarlo, incluso durante situa-
tiempo promedio de reparación se emplea para inten- ciones de emergencia.
tar descubrir qué cambió, tener a mano esta informa- La Metodología de Operaciones Visibles lo ayudará a desa-
ción garantiza que toda la evidencia relevante y causal rrollar un proceso de gestión del cambio sostenible que iden-
esté disponible. Por lo general, cuando se preparan de tifique y corrija rápidamente las causas de las bajas tasas de
esta manera, los administradores de problemas pueden éxito del cambio.
diagnosticar los problemas con éxito sin tener que
39
GTAG — Apéndice C — Ejemplo Práctico de
Negocio para la Gestión del Cambio — 11
Las organizaciones de alto rendimiento utilizan los procesos placer a la auditoría”. Como se describió en las secciones
de gestión del cambio de TI para reducir los riesgos e incre- anteriores, las mediciones operacionales clave están com-
mentar la eficacia y la eficiencia operativas. De esta manera, puestas por la tasa de fallos del cambio, el tiempo de recupe-
los beneficios de los controles eficaces de los cambios son sig- ración en caso de cambios fallidos y el trabajo no planeado
nificativos y medibles. Ser capaz de demostrar esto facilita la resultante. El Cuadro 6 resume los indicadores de la gestión
tarea de desarrollo de un caso de negocio para mejorar los ineficaz del cambio. El Cuadro 7 describe las maneras de
controles de cambios, a diferencia de hacerlo sólo para “com- solucionar esto en función de la experiencia real en campo.
Cuadro 6: Problemas e indicadores de gestión ineficaz del cambio
Nuestros síntomas Causas subyacentes

“Al igual que muchas organizaciones de TI importantes, está- Niveles de servicio y disponibilidad deficientes.
bamos experimentando los efectos de los cambios no docu- Cantidad no conocida de cambios operativos.
mentados. Sabíamos que se estaban produciendo, pero eran
difíciles de rastrear, y en la atmósfera actual, tan consciente de Tasa de cambio no controlada.
la seguridad, esto era inaceptable”. Tasas de éxito del cambio bajas (inferiores a 70%).
Grandes cantidades de trabajo no planeado (inferior a 40%).
“Cuando se produjeron interrupciones en los sistemas fijos de Cuando los cambios fallaban, la investigación de las causas y
transacciones entrantes, la mesa de ayuda fue la primera en la gestión de los problemas insumían más del 25% de la carga
saberlo. Esto llegaba hasta el grupo de gestión de TI, quien de trabajo.
organizaba un equipo de respuesta y reunía los antecedentes Un diagnóstico inexacto conduce a una tasa de resolución
para descubrir lo que había sucedido”. de problemas en primera instancia baja (en inglés, FFR,
inferior a 50%).
“Era como en el Lejano Oeste. La gente no documentaba sus La ausencia de controles de detección en los procesos de
cambios y ni hablar de recibir una aprobación al respecto. Esto gestión del cambio genera un rendimiento deficiente.
se hacía evidente en nuestras estadísticas de disponibilidad”. La ausencia de los controles de cambio impide la prueba de
los controles preventivos y de detección para que los audito-
res puedan certificar que los controles son eficaces.
Cuadro 7: Beneficios de una transformación eficaz (basada en los resultados reales informados)
Nuestra solución Ventajas

“Nos dimos cuenta de que las consecuencias inesperadas de Mejor visibilidad de la gestión de los cambios propuestos.
los cambios representaban el factor que más contribuía a la Los cambios operativos son sólo los autorizados por el proce-
generación de trabajo no planeado. Formalizamos la aproba- so de gestión del cambio.
ción requerida para realizar los cambios de producción y para Un mayor control de la tasa de cambio puede generar incre-
iniciar el proceso. Además “electrificamos la barrera” para mentos en la tasa de éxito del cambio de hasta un 95% debi-
garantizar que se respete el proceso de gestión del cambio”. do a la visibilidad y las pruebas.
“Comenzamos por crear una responsabilidad real en cuanto a (Este negocio en particular calcula el tiempo de inactividad a
rendición de cuentas para que todos siguieran el proceso de $7.000 por minuto).
gestión del cambio. Elegimos nuestras reuniones de gestión La cantidad de cambios no autorizados se redujo de “varios al
de disponibilidad diaria (en inglés, “reuniones DAMM), presidi- día” a “varios al año”. Dado que cada interrupción requería dos
das por Kenny, nuestro vicepresidente de operaciones. Kenny horas para restablecer el servicio (un cálculo bastante conser-
revisa todos los cambios fallidos con los implementadores del vador), se destinaban 5.000 horas de trabajo, teniendo en
cambio y organiza una sesión especial para quienes hayan cuenta una base anual.
omitido el proceso de gestión del cambio. Digamos simple-
mente que los cambios no autorizados y los de tipo subrepti- Todos los cambios se documentan por completo, lo cual per-
cio se producen con mucha menos frecuencia”. mite que se descarte el cambio en primer lugar en el ciclo de
reparaciones, permitiendo que el tiempo de restauración pase
de “horas” a “minutos”. Para las 11 interrupciones producidas
en Q3, se ahorraron aproximadamente 13 horas de tiempo de
interrupción del sistema.
40
GTAG — Apéndice C — Ejemplo Práctico de
Negocio para la Gestión del Cambio — 11
Cuadro 7: Beneficios de una transformación eficaz (basada en los resultados reales informados) (continuación)
Nuestra solución Ventajas
“Nos dimos cuenta de que las consecuencias inesperadas de El cumplimiento de las normas se maneja ahora como un
los cambios representaban el factor que más contribuía a la tema cotidiano, en lugar de una preparación de último minuto
generación de trabajo no planeado. Deseábamos aplicar en el borde del colapso.
mejor nuestras normas y poder eliminar el tiempo destinado Dado que la prueba de controles de cambio eficaces se gene-
al trabajo de detección. ra con regularidad, los auditores externos no generaron cartas
“Es más, la preparación para las auditorías pasó de represen- con comentarios para la gerencia (en comparación con el año
tar cuatro semanas de trabajo al año por cada proyecto a pasado, se evitaron 130 horas de trabajo no planeado y de
estar listo para cada auditoría en menos de medio día. honorarios de auditoría al respecto).
“Por último, solíamos tener tres equipos de cumplimiento dife- El mapa de los controles de cambio en función de los requeri-
rentes: uno para el Artículo 404 de la Ley Sarbanes-Oxley, mientos regulatorios ordinarios reduce la cantidad de trabajo
otro para la Ley Gramm-Leach Bliley y otro más para la Ley duplicado que hacen los equipos por separado. Se ha reasig-
de Responsabilidad y Portabilidad del Seguro de Salud. nado a doce miembros del personal de TI al equipo de opera-
Cuando nos dimos cuenta de que todas ellas requerían la pre- ciones de TI.
paración eficaz de reportes de controles de cambio, reempla-
zamos todos esos equipos por uno solo encargado del
cumplimiento de las tres leyes”.
“Además de que todos nosotros ya no tenemos que usar los El trabajo no planeado se redujo de más de un 40% a un 15%.
localizadores en nuestros hogares, hemos descubierto que Las entregas puntuales de los proyectos pasaron de cero a
disponemos de más tiempo para trabajar en los proyectos un 60%.
planeados, en lugar de estar apagando incendios todo el
tiempo”. El Director de TI (CIO) le ha asignado al grupo de gestión de TI
los proyectos estratégicos clave para el año siguiente.
41
GTAG — Apéndice D — Herramientas de la Gestión
del Cambio y Proveedores — 12
A continuación se presentan algunas de las herramientas

más utilizadas para automatizar los procesos descritos en esta
guía:
• Visible Ops Handbook: Starting ITIL in Four Practical
Steps.
• Flujo de gestión del cambio (control preventivo).
– BMC/Remedy Action Request System.
(http://www.remedy.com/solutions/coretech/
index.html)
– HP Service Desk.
– (http://managementsoftware.hp.com/products/
desk/index.html).
• Auditoría y supervisión de cambios (control de detección).
– Tripwire for Servers and Networking Devices
(http://www.tripwire.com)
42
GTAG — Guía de Auditoría de Tecnología Global Referencias — 13
El material para el ejemplo de la guía de auditoría presenta- [Hulme 04] Hulme, George. “Federal CISOs Rank
do en el Apéndice A se extrajo, en parte, de http://audit- Patch Management As Biggest Obstacle.” InformationWeek,
net.org/asapind.htm. 22 de noviembre de 2004. Disponible en http://information-
[Allen 04] Allen, Julia; Behr, Kevin; Kim, Gene et al. week.com/story/showArticle.jhtml?articleID=53701321.
Best in Class Security and Operations Round Table Report [ITIL 00] Information Technology Infrastructure
(CMU/SEI-2004-SR-002). Pittsburgh, PA: Software Library (ITIL)®14. Office of Government Commerce. Vaya
Engineering Institute, Carnegie Mellon University, Marzo a http://www.ogc.gov.uk/index.asp?id=2261 y
de 2004. Disponible mediante solicitud. http://www.itsmf.com. Consulte específicamente Best
[BDO 04] BDO Seidman LLP, et al. A Framework for Practice for Service Support, Capítulo 8 Change Management
Evaluating Control Exceptions and Defiencies. BDO Seidman (2000).
LLP, Crowe Chizek and Co. LLC, Deloitte & Touche LLP, [ITPI 04] Behr, Kevin; Kim, Gene; Spafford, George.
Ernst & Young LLP, Grant Thornton LLP, Harbinger PLC, Visible Ops Handbook: Starting ITIL in Four Practical Steps. IT
KPMG LLP, McGladrey & Pullen LLP, Process Institute, 2004. La información de presentación y
PricewaterhouseCoopers LLP, 20 de diciembre de 2004. solicitud está disponible en http://www.itpi.org.
Disponible en varios sitios incluido [Kim 03] Kim, Gene. “High-Performing IT Operations
http://www.kpmg.com/Rut2000_prod/Documents/9/US_DP and Security Workshop Findings: Part 1.” ComputerWorld,
P_ICOFR_04_024_A01.pdf. diciembre de 2003. Disponible en http://www.computer-
[BITS 04] BITS Financial Services Roundtable. Patch world.com/securitytopics/security/story/0,10801,91205,00.ht
Management Best Practices for IT Service Providers. BITS, ml?nas=SEC2-91205.
julio de 2004. Disponible en http://www.bitsinfo.org/bits- [Mair 73] Mair, William; Wood, Donald; Davis, Keagle.
patchmgmt2004.pdf Computer Control and Audit. Touche Ross & Co., 1972,
[Chambers 03] Chambers, Andrew. Tolley's Corporate 1973, 1976 y 1978. Distribuido anteriormente por The
Governance Handbook: 2nd Edition, Appendix B: Fraud. Institute of Internal Auditors, Inc. Ya no se encuentra dispo-
Lexis Nexis, 2003. nible en formato impreso.
[CISWG 04] Corporate Information Security Working [O’Reilly 98] O’Reilly, Vincent; McDonnell, Patrick;
Group. Subcommittee on Technology, Information Policy, Winograd, Barry; Gerson, James; Jaenicke, Henry.
Intergovernmental Relations & the Census Government Montgomery's Auditing, 12th Edition. Wiley, 1998.
Reform Committee, U.S. House of Representatives. Report [PWC 04] PriceWaterhouseCoopers. The Discipline of
of the Best Practices and Metrics Teams. 17 de noviembre de Enterprise Patch Management: A Critical Component of a
2004. Disponible mediante solicitud. Broader Approach to Protection, 2004. Disponible en
[COSO 04] The Committee of Sponsoring http://www.pwcglobal.com/extweb/manissue.nsf/DocID/5BF8D
Organizations of the Treadway Commission. Enterprise Risk 134DFEE39A385256E5F006A0F89.
Management - Integrated Framework. Septiembre de 2004. El [Salamasick 03] Salamasick, Mark. PC Management
resumen ejecutivo y la información de solicitud están dispo- Best Practices - A Study of the Total Cost of Ownership, Risk,
nibles en http://www.coso.org. Security, and Audit. The Institute of Internal Auditors
[Gartner 03] Series on Change Management: Research Foundation, Noviembre de 2003. La información
• Brittain, Kris. Change Management Makes an de solicitud está disponible en
Impact on IT Service Quality. Note AV-19-3311, http://www.theiia.org/iia/bookstore.cfm?fuseaction=pro-
Gartner, 13 de marzo de 2003. duct_detail&order_num=482.
• Scott, Donna; Brittain, Kris. Defining IT Change [Tipton 00] Tipon, Hal, Miki Kraus.
Management. Research Note COM-19-1428, Handbook Information Security Management. Auerbach
Gartner, 6 de marzo de 2003. Publications, 2000.
• Brittain, Kris; Scott, Donna. Critical Factors
Powering Operational Change Management.
Research Note DF-18-4179, Gartner, 4 de marzo
de 2003.
• Scott, Donna; Brittain, Kris. Best Practices for
Operational Change Management. Commentary
COM-19-1253, Gartner, 6 de marzo de 2003.
• Brittain, Kris; Scott, Donna. Governance/Policy
Back Operational Change Management.
Commentary COM-18-4180, Gartner, 6 de marzo
de 2003.
[Gall 86] Gall, John. Systemantics: The Underground
Text of Systems Lore, General Systemantics Press, 1986.
[Goldratt 92] Goldratt, Eliyahu; Cox, Jeff. The Goal: A
Process of Ongoing Improvement, 2nd Rev edition, North River
Press, mayo de 1992.
43
GTAG — Guía de Auditoría de Tecnología
Global — Acerca de los autores — 14
Julia H. Allen es miembro superior del personal técnico del Kim fue nombrado uno de los “Top 4 CTOs to Watch” por
programa Networked Systems Survivability en el Instituto la revista InfoWorld debido a sus “actividades de vanguardia
de Ingeniería de Software (SEI, en inglés), una unidad de la y de avanzada”. También fue uno de los presidentes del taller
Universidad Carnegie Mellon en Pittsburgh, Pensilvania. El técnico de SANS en abril del 2003, denominado Auditable
centro de coordinación CERT® también forma parte de este Security Controls That Work y considerado por SANS
programa. como uno de los cinco regalos más importantes a la comuni-
Allen participa en el desarrollo y transición de los enfoques dad y una de las principales iniciativas del 2003. Kim fue uno
de seguridad empresarial y los programas de alcance ejecuti- de los presidentes de Best in Class Security and Operations
vo en la seguridad y dirección empresarial. Con anterioridad Roundtable (BIC-SORT) junto con el Instituto de
a esta asignación técnica, Allen se desempeñó como directo- Ingeniería de Software en octubre de 2003. Kim posee certi-
ra suplente del SEI durante un período interino de seis meses ficaciones en procesos de auditoría y gestión de TI, tanto de
y como vice directora/directora de operaciones durante tres ITIL Foundations como de CISA.
años. Posee el título de Licenciada en Ciencias de la Información de contacto:
Computación (Universidad de Michigan) y una Maestría en Gene Kim
Ingeniería Eléctrica (Universidad de Southern California). Tripwire Inc.
Es autora de The CERT Guide to System and Network 326 SW Broadway Ave., 3rd Floor
Security Practices (Addison-Wesley, Junio de 2001). Portland, OR 97205 Estados Unidos
Información de contacto: +1-503-276-7676
Carnegie Mellon University genek@tripwire.com
Software Engineering Institute
4500 Fifth Ave. Jay R. Taylor, CIA, CFE, CISA, es director general de
Pittsburgh, PA 15213 Estados Unidos Auditoría de Tecnología de Información de General Motors
jha@sei.cmu.edu, jha@cert.org Corp. y es el responsable de evaluar los riesgos y proporcionar
auditoría interna global y servicios de consultoría con respec-
Glenn L. Hyatt, CIA, CISA, CISSP es gerente de seguri- to a las unidades de negocio e inversiones conjuntas de
dad de datos en General Motors Acceptance Corp. General Motors y General Motors Acceptance Corp. en todo
(GMAC) Mortgage, donde administra las operaciones e el mundo. GM opera en un entorno sumamente complejo uti-
investigaciones de seguridad de la información. Hyatt se ha lizando numerosos proveedores de TI de todo el mundo.
desempeñado durante más de 20 años en cargos relacionados Taylor obtuvo su Maestría en Administración de Empresas
con TI, desde programador hasta gestión de seguridad de la (MBA) en la Universidad de Michigan y trabaja activamente
información, consultoría de TI y gerencia de auditoría de TI. en el Comité Internacional de Tecnología de Avanzada del
Anteriormente trabajó en Federal Reserve Bank of Instituto de Auditores Internos. Anteriormente, trabajó en el
Philadelphia, Citibank y Ernst & Young. Posee una Maestría Comité Internacional de Productos Educativos del IIA y fue
en Ciencias de la Computación e Información de la presidente del Capítulo de Mid-Michigan del IIA y miembro
Universidad de Delaware. de la Junta de Gobierno del Capítulo de Detroit. Sus contri-
Información de contacto: buciones profesionales recientes incluyen presentaciones rea-
GMAC Mortgage lizadas en la Conferencia sobre la Gestión del Riesgo
4 Walnut Grove Dr., 190-400-215 Empresarial del IIA y en la Conferencia sobre Prácticas de
Horsham, PA 19044 Estados Unidos Liderazgo y Tendencias Emergentes del IIA, ambas realizadas
+1-215-682-3424 en el año 2004.
Glenn.Hyatt@gmacm.com Información de contacto:
General Motors Corp.
Gene H. Kim, CISA, es el director de tecnología (en inglés, 300 Renaissance Center
CTO) y fundador de Tripwire Inc. En 1992, fue coautor de Mail Code 482-C18-B76
Tripwire mientras estaba en la Universidad de Purdue con el Detroit, MI 48265-3000 Estados Unidos
Dr. Gene Spafford. En el año 2004, escribió The Visible Ops +1-313-665-3700
Handbook y cofundó el Instituto de Procesos de TI, dedicado a jay.r.taylor@gm.com
la investigación, comparación y desarrollo de orientación
prescriptiva para los auditores y la gestión de seguridad y ope-
raciones de TI. Actualmente trabaja, de manera activa, con el
Instituto de Ingeniería de Software y el Instituto de Auditores
Internos para investigar cómo las mejores organizaciones inte-
gran las operaciones de TI, la seguridad, la administración, la
dirección y el trabajo de auditoría para alcanzar los objetivos
comunes del negocio. Actualmente, Kim participa de la
Comisión de Tecnología Avanzada del IIA.
Kim posee una Maestría en Ciencias de la Computación de
la Universidad de Arizona y es Licenciado en Ciencias de la
Computación de la Universidad Purdue. Recientemente,
44
GTAG — Equipo de Revisión de Proyecto
Equipo de Revisión de Proyecto

Charlie LeGrand, CHL Associates
Claude Cargou, AXA
Norman Marks, Maxtor
Warren Malmquist, Coors
Larry Brown, Options Clearing Corporation
Michael Prospect, SIAC
Jennifer Bayuk, Bear Stearns
Rod Brennan, Siemens
Angelina Chin, General Motors Corporation
Clint Kreitner, Center for Internet Security
Jon Stanley, General Motors Corporation
Ed Hill, Protiviti
Mark Salamasick, Universidad de Texas
Sydney Leo, KPMG
Matt Snyder, General Motors Corporation
Bill Shinn, Washington Mutual
James Christiansen, Experian
Carol Woody, Universidad Carnegie Mellon, Instituto de Ingeniería de Software
Stuart M.McCubbrey, General Motors Corporation
Controles de gestión de parches y cambios
Esta guía fue desarrollada para ayudar a los DEA a realizar las preguntas de
TI correctas a la organización a evaluar su capacidad de gestión de cambio.
Describe las fuentes de cambio a su probable impacto sobre los objetivos de
negocio, así como también de qué manera los controles de gestión de parche
y cambios ayudan a gestionar los riesgos y costos de TI.
¿Qué es GTAG?
La Guía de Auditoría de Tecnología Global (GTAG) ha sido preparada por
el Instituto de Auditores Internos y está escrita en un lenguaje de negocios
claro y directo para abordar temas de actualidad relacionados con la gestión,
el control o la seguridad de la tecnología de la información. GTAG es una
colección de recursos lista para ser utilizada por los directores ejecutivos de
auditoría en la educación de los miembros del Consejo de Administración y
del Comité de Auditoría, Dirección, propietarios de los procesos y otros en
lo que respecta a riesgos asociados a la tecnología y prácticas recomendadas.
www.theiia.org

Controles de Gestión de Parches y Cambios: Cruciales para El Éxito de La Organización

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Controles de Gestión de Parches y Cambios: Cruciales para El Éxito de La Organización

Caricato da

Copyright:

Formati disponibili

GUÍA DE AUDITORÍA DE TECNOLOGÍA GLOBAL

Jay R. Taylor, General Motors Corp.

1.1 ¿Por qué el Director Ejecutivo de producción, entre ellos:

1.5 El rol del auditor interno

ciplinada, incluida la promoción de los beneficios de creencias y enfoques.

“¿Me estás diciendo que mi gente me miente?”

En la mayoría de las empresas, el departamento de TI tiene • Software: sistemas operativos y aplicaciones.

• La variaciones en las configuraciones de producción se cantidad de inspecciones manuales y muestreos sustan-

Mediciones e indicadores Pautas

Las organizaciones de alto rendimiento pueden sostener hasta

Cuadro 1: Mediciones de la Gestión del Cambio (continuación)

Porcentaje de tiempo empleado en trabajo no planeado. El Cuanto menos mejor.

Organizaciones de alto >1000 cambs/sem < 1% Minutes < 5% del tiempo

Organización No se conoce, ~30 - 50% Horas, Días 35 - 45% del

Cantidad de Porcentaje de cambios Tiempo medio Porcentaje del tiempo

4.4 Mediciones e indicadores de la gestión del encuentra en un período de congelación de cambios, la

juntos que se pueden probar e implementar simultáne-

Figura 4: Niveles de capacidad de gestión del cambio

LOS CAMBIOS DOMINAN A LA LOS CAMBIOS DOMINAN A LA

REACTIVO BASADO EN EL USO DE GESTIÓN DE CAMBIO DE MEJORA CONTINUA

Basado en el enfoque “Operaciones Visibles” de IPTI

en el curso normal de los negocios. Sin esto, no podíamos

las solicitudes de cambios?

Best in Class Security and Operations Round Table Report, Julia

Proceso, propósito y riesgos – Quién: el cambio fue implementado por una

9.1 Definiciones de la gestión del cambio12:

Cuadro 3: Programa de auditoría de gestión del cambio de TI

• La generación y/o modificación adecuadas de la documen-

Se deben revisar las mediciones, normas, niveles de servicio, com-

• La cantidad de cambios autorizados por semana: ¿Cuántos

• La cantidad de cambios reales realizados por semana: ¿Cuántos

• La cantidad de cambios no autorizados: ¿Cuántos cambios sos-

• La tasa de éxito del cambio: ¿Cuántos cambios se implementan

• La cantidad de interrupciones que afectan el servicio: ¿Cuántos

• Cantidad de cambios de emergencia: ¿Cuántos cambios necesi-

Se deben obtener listados de personal y copias de los organigra- AI6.6

Revisar las normas, procedimientos, prácticas y tecnologías de

Revisar las normas, procedimientos, prácticas, y tecnologías de AI6.3 Control

Revisar las normas, procedimientos, prácticas y tecnologías de AI6.3 Control

Establecer a través de entrevistas y revisiones de la documenta-

Revisar las normas y procedimientos de la gestión del pro-

Revisar los procedimientos de los cambios de emergencia

Seleccione una muestra de cambios de emergencia reali- AI6.4 Cambios

Cuadro 4: Roles típicos

Cuadro 5: Separación de funciones

Los evaluadores Los preparadores

Los implementadores Los preparadores

Por lo menos uno de los responsables de la aprobación Los preparadores

Cuadro 6: Problemas e indicadores de gestión ineficaz del cambio

Nuestros síntomas Causas subyacentes

Nuestra solución Ventajas

Nuestra solución Ventajas

A continuación se presentan algunas de las herramientas

Equipo de Revisión de Proyecto

Potrebbero piacerti anche