Política de gestión de cambios - PYME

La P05S Política de gestión de cambios está cuidadosamente adaptada para pequeñas y medianas empresas (pymes), y se centra en la necesidad de gestionar cambios en TI y en sistemas empresariales de forma ágil pero conforme. El propósito declarado de la política es garantizar que todas las modificaciones, ya sean en sistemas de TI, ajustes de configuración, aplicaciones empresariales o servicios en la nube, se planifiquen, se sometan a una evaluación de riesgos, se prueben y se aprueben formalmente antes de entrar en vigor. Esto ayuda a minimizar interrupciones operativas, reducir la probabilidad de incidentes de seguridad y prevenir interrupciones no deseadas del servicio. Diseñada pensando en pymes, la política simplifica explícitamente roles y responsabilidades, haciendo que la gestión de cambios sea abordable para empresas sin departamentos de TI a tiempo completo o un centro de operaciones de seguridad (SOC) dedicado. Por ejemplo, el Director General es el responsable último de cambios significativos o sensibles, encarnando un modelo de gobernanza que funciona en entornos con recursos limitados. Los cambios de TI pueden ser propuestos por empleados o responsables de departamento, pero todas las acciones significativas pasan por la aprobación de un proveedor de TI o, para cambios importantes, por la aprobación del Director General. Esto alinea el proceso de cambios con estructuras de gestión reales de pymes. De forma integral, la política cubre tanto cambios planificados como cambios de emergencia en software, hardware, configuraciones de red, servicios en la nube y procesos empresariales críticos que involucren sistemas de información. Prescribe procedimientos directos para la presentación, la documentación, la evaluación de riesgos e impacto, la aprobación, las pruebas y la reversión. En particular, debe mantenerse un registro de cambios, mediante hoja de cálculo, sistema de helpdesk o cualquier sistema de seguimiento digital con historial de versiones, para garantizar que todos los cambios sean trazables, respalden auditorías y aporten evidencia de auditoría del cumplimiento del proceso. La política está construida para cumplir los requisitos de certificación de ISO/IEC 27001:2022, formalizando específicamente la planificación y la gestión operativa de los cambios. La toma de decisiones basada en el riesgo es integral: cada solicitud de cambio se evalúa por sus impactos potenciales en la disponibilidad del sistema, la confidencialidad de los datos y la continuidad del negocio, y se le asigna un nivel de riesgo. Los cambios de emergencia, aunque se permiten ante amenazas urgentes o interrupciones, deben revisarse y registrarse retrospectivamente para garantizar la transparencia y permitir el aprendizaje a partir de incidentes. Las secciones de aplicación dejan claras las consecuencias de cambios no autorizados o no documentados, enfatizando acciones correctivas y la mejora futura del proceso. La documentación y la comunicación se exigen a lo largo del ciclo de vida de la política. Se requieren revisiones anuales y revisiones tras incidentes de seguridad o la introducción de sistemas, y las actualizaciones deben aprobarse formalmente y comunicarse en toda la organización. La eficacia organizativa se refuerza además mediante la vinculación con otras políticas relacionadas para pymes, incluidas las de control de acceso, listas de verificación de incorporación y cese, respuesta a incidentes y sistemas de respaldo/restauración, garantizando la coherencia en todo el marco de cumplimiento. Por tanto, esta política no solo es práctica y aplicable para pymes, sino que también está alineada directamente con normas y regulaciones internacionales, como ISO/IEC 27001:2022, NIS2 y DORA de la UE.