Help
Options
Didn't know it?
click below
click below
Knew it?
click below
click below
Don't Know
Remaining cards (0)
Know
retry
shuffle
restart
0:00
Embed Code - If you would like this activity on your web page, copy the script below and paste it into your web page.
Normal Size Small Size show me how
Normal Size Small Size show me how
Control de Cambio
Capítulo 10 del Libro
| Question | Answer |
|---|---|
| ¿Qué es la gestión de control de cambio? | Proceso que garantiza la implementación efectiva de cambios en un ambiente TI. Su propósito es minimizar la probabilidad de ruptura y cambios sin aprobar, así como los errores. |
| ¿En qué consiste un proceso de gestión de control de cambio? | En análisis, revisión, aprobación e implementación de cambios. |
| En muchos casos, los cambios organizacionales son los que introducen cambios a los sistemas de TI (V o F) | Verdadero |
| ¿Por qué la gestión de control de cambio es una de las áreas de control más importantes? | Porque garantiza la integridad, disponibilidad, confiabilidad, seguridad, confiabilidad y precisión de una organización o Sistema de TI que apoye a la organización. |
| Ejemplos de cambios de control general con gestión de control de cambios pueden ser: | Aprobación de solicitudes de cambio, mejoras/actualizaciones de aplicaciones y bases de datos; y de monitoreo de infraestructura de red, seguridad, y gestión de cambio. |
| Los cambios organizacionales no se ven impactados por las limitaciones introducidas por la tecnología y la cultura de la organización. (V o F) | Falso. Si se ven impactados. |
| ¿A qué ayuda establecer controles en la modificación de aplicaciones de software? | A garantizar que solo programas autorizados y modificaciones autorizadas sean implementadas. |
| Instituyendo políticas, procedimientos y técnicas ayuda a asegurar que todos los programas y modificaciones sean probadas, autorizadas y aprobadas. (V o F) | Verdadero |
| La falta de controles no incrementa el riesgo de que se introduzcan irregularidades o código malicioso. (V o F) | Falso. Si se incrementa el riesgo. Ejemplos en pág (266) |
| ¿Cuál es el enfoque primario de un sistema de control de cambio? | Controlar los cambios que son hechos a los sistemas de software en operación, ya que los sistemas operacionales producen declaraciones financieras y una mayoría de cambios de programa son hechos para mantener los sistemas operacionales. |
| ¿Qué garantiza un sistema de control de cambio de TI? | Que haya segregación de tareas apropiada entre quienes inician el cambio, quien aprueba el cambio, y quién implementa el cambio en un ambiente de producción. |
| El área más importante en cualquier ambiente de procesamiento de información es la gestión de cambios en sistemas existentes (V o F) | Verdadero |
| Un proceso de gestión de cambio efectivo no reduce el riesgo de ruptura de los servicios de TI (V o F) | Falso, el riesgo se reduce. |
| ¿Qué se hace con los cambios propuestos? | Deben ser revisados por el personal de gestión de cambio para identificar conflictos potenciales con otros sistemas. El proceso de gestión de cambio debe ser revisado periodicamente para evaluar su efectividad. |
| ¿Cómo beneficia una gestión de control de cambios bien definida, estructurada y bien implementada a una organización? | Lista en página 266. |
| ¿De qué forma se pueden introducir los cambios a un sistema? | Al reparar un bug (Error) o al añadir una nueva funcionalidad. También de nuevos lanzamientos de software y distribución de nuevo software. Pueden resultar de gestión de configuración y rediseño de procesos de negocios. |
| ¿Cuales son los 3 tipos de cambio? | Rutinarios, no rutinarios, de emergencia. |
| ¿Cómo son los cambios rutinarios? | Típicamente tienen un impacto mínimo en las operaciones diarias, pueden ser implementados o retirados de forma rápida y sencilla. |
| ¿Cómo son los cambios no rutinarios? | Tienen un impacto potencial en las operaciones. Afectan a muchos usuarios y frecuentemente tienen largas y complejas implementaciones y procedimientos de retiro. |
| ¿Cómo son los cambios de emergencia? | Cualquier cambio, menor o mayor, que se debe hacer rápido, sin seguir algun procedimiento de control de cambios estándar. |
| ¿Qué cubre el proceso de gestión de control de cambios? | Lista en pág 267 |
| ¿Qué garantiza un formulario de solicitud de cambio? | Que sólo los cambios autorizados sean implementados. Requiere que un registro se mantenga de todos los cambios en el sistema, que los recursos sean asignados, y que los cambios sean priorizados. |
| Los procedimientos de solicitud de cambios deben ser documentados y requieren: | Lista en pág 267 |
| ¿Por que se necesita una evaluación de impacto para cada cambio? | Para garantizar que las potenciales consecuencias negativas sean identificadas y que se tenga un plan para ellas. |
| ¿Qué riesgos puede introducir un cambio? | Riesgos a la disponibilidad, integridad, confidencialidad, rendimiento de un sistema. |
| Cada solicitud de cambio debe incluir evidencia de apoyo de la evaluación del impacto del cambio. (V o F) | Verdadero |
| ¿Por qué se necesitan controles? | Controles a través de procesos y herramientas automatizadas son necesarios para garantizar la integración de solicitudes de cambio, cambios de software, y distribución de software. |
| ¿Qué mas garantizan los controles de cambio además de solo los cambios autorizados? | La detección de cambios no autorizados, reducción de errores debido a cambios en el sistema, y una creciente fiabilidad de cambios. |
| Ejemplos de controles sobre los procesos de control de cambios incluyen: | Verificaciones independientes del éxito o fracaso de cambios implementados, también actualizar la infraestructura o configuración de sistema para detectar cambios no autorizados. |
| Controles relevantes para evaluar el proceso de control de cambio incluyen garantizar que: | Lista en página 269 |
| ¿Cual es el proposito del Estandar de Gestion de servicio de IT ISO/IEC 20000? | Garantizar que todo los cambios a hardware, equipo de comunicaciones y software, así como los sistemas de software sean evaluados, aprobados, instalados y monitoreados de forma efectiva, eficiente, y controlada. |
| COBIT 5 define una serie de facilitadores o procesos para ayudar a lograr los objetivos de la organización: | Específicamente de gestión de cambio, son parte de los dominios principales de COBIT 5: Construir, Adquirir, Implementar (BAI) |
| Ejemplos de los facilitadores de COBIT: | BAI05 Gestionar la habilitación de cambios organizativos, BAI06 Gestionar Cambios, y BAI07 Gestionar aceptación de cambios y transición. |
| ¿A qué ayudan los facilitadores de COBIT? | A garantizar una implementación efectiva de cambios en el ambiente de TI. |
| ¿Qué aseguran las prácticas de gestión de cambios de ITIL? | Que los métodos apropiados sean usados cuando se implementen cambios mientras se minimiza la posibilidad de ruptura a los procesos actuales. |
| ¿Que son los cambios de emergencia? | Son cambios que son requeridos fuera de la agenda prescrita. Normalmente son para reparar errores en funcionales que afectan al rendimiento o procesos de negocios de un sistema. |
| ¿Para qué pueden ser requeridos los cambios de emergencia? | Para reparar vulnerabilidades inminentes a la disponibilidad, integridad confidencialidad. |
| Por las consecuencias de los cambios de emergencia, estos deben solamente ser implementados en emergencias declaradas (V o F) | Verdadero |
| ¿Cómo debe ser la documentación de los cambios de emergencia? | Como los cambios regulares, pero esta no debe ocurrir hasta que el cambio se haya hecho por la naturaleza de la emergencia. |
| Por su naturaliza, los cambios de emergencia plantean un riesgo mayor, ¿por qué? | Porque pasan por alto algunos de los análisis y procesos formales del proceso tradicional de control de cambios. |
| ¿Qué garantiza la documentación de cambios? | Garantiza la mantenibilidad del sistema por cualquier miembro del personal asignado y minimiza la dependencia en el personal individual. |
| Las actualizaciones de mantenimiento son también consideradas cambios y deben ser contadas y autorizadas en los procesos de control de cambios. (V o F) | Verdadero. |
| Un ejemplo de una tarea de mantenimiento de rutina sería desfragmentar un disco duro para remover archivos fragmentados o clusters perdidos. (V o F) | Verdadero. |
| ¿Por qué los nuevos lanzamientos de software requieren aprobación de gerencia? | Para asegurar que el cambio es autorizado, probado y documentado antes de que el nuevo software sea implementado en el ambiente de producción. |
| Un ejemplo de un sistema de control de versiones (VCS): | Git |
| ¿Cuál es el propósito de la distribución de software? | Garantizar que todas las copias del software sean distribuidas de acuerdo a sus acuerdos de licencia. |
| ¿Qué minimiza la distribución de software? | El riesgo a múltiples versiones del software siendo instaladas al mismo tiempo. |
| Múltiples versiones de un software reducen los costos de apoyo ya que los usuarios y personal de apoyo necesitan ser entrenados en las funcionalidades, y problemas de cada version. (V o F) | Falso. Se incrementan los costos. |
| ¿Qué permiten los acuerdos de licencia? | Permiso para usar software específico basado en limitaciones, número de usuarios, ubicación, tipo de uso y demás. |
| ¿Cómo pueden ser las licencias de uso? | Licencia de Sitio: para uso ilimitado en un sitio Licencia de Empresa: para uso ilimitado por una empresa. |
| ¿Qué consecuencias legales tiene el violar los acuerdos de licencia? | Costos por copias instaladas no licenciadas, daños y tarifas legales, pérdida de reputación corporativa. |
| ¿Qué es la SIIA (Software and Information Industry Association)? | Organización compuesta por compañías de la industria del software e implementación. Uno de sus objetivos es proteger la propiedad intelectual de sus miembros |
| ¿Qué hace el programa anti piratería de SIIA? | Identifica, investiga y resuelve casos de piratería de software en nombre de sus miembros. |
| Practicas de distribución de software deben incluir: | Lista en pág 271 |
| ¿Qué garantizan los procesos de gestión de control de cambios? | Que todos los miembros de una organización sigan el mismo proceso para iniciar, aprobar e implementar cambios a sistemas y aplicaciones. |
| Áreas a considerar cuando se desarrollan procesos de gestión de control de cambios: | Objetivos, Enfoque, Junta o Comite de Gestión de Cambios, Criterio de aprobación de cambios, Post Implementación, Iniciación y Originación de puntos de cambio, Puntos de aprobación, Documentación de cambio, Puntos de revisión. |
| Potenciales objetivos en la gestión de control de cambios incluyen: | Lista en pág 272 |
| El Enfoque en la gestión de control de cambios puede incluir: | Lista en pág 272 |
| ¿Qué son las juntas o comités de control de cambio? | Entidades comunes que lidian coordinando la comunicación de cambios en una organización. |
| A continuación se presentan posibles fuentes de miembros de una junta o comité de gestión de control de cambios: | Equipos de desarrollo/soporte de aplicaciones que pueden brindar guías Operaciones en data centers Redes/Telecomunicaciones Equipos de atención al cliente Representantes de usuarios clave |
| ¿Cómo se deben seleccionar los individuos en la junta o comite de gestión de cambios? | Basándose en su perspectiva en profundidad y amplio conocimiento de las áreas que representan, asi como su conocimiento de otras areas funcionales involucradas. |
| Los siguientes son cambios que son considerados durante reuniones diarias de revisión de cambios: | Lista en pág 273 |
| Los siguientes son temas que son cubiertos durante reuniones de revisión de cambios semanales: | Lista en pág 273 |
| ¿Qué criterio se sigue para la aprobación de cambios? | Estado del ambiente de producción Nivel de cambio Efecto acumulado en los cambios propuestos Disponibilidad de recurso Criticidad |
| ¿Qué se revisa en el estado del ambiente de producción? | Se evalúa el rendimiento y disponibilidad de cada sistema en el ambiente de producción durante una semana previa. Si se desempeña bien y ha estado disponible, la junta o comite aprueba los cambios que dan nuevas funcionalidades con mayor riesgo a fracaso |
| ¿Qué se revisa en el nivel de cambio? | Este se examina con la información detallada e instrucciones adjuntadas a la solicitud de cambio. Los archivos adjuntos deben detallar los riesgos asociados y el impacto del cambio. |
| ¿En qué factores se basa el nivel de cambio? | Riesgo, Impacto, Requisitos de comunicación, Tiempo de Instalación Requisitos de documentación Requisitos de educación o capacitación |
| ¿En qué consiste el Efecto acumulado de los cambios propuestos? | La junta puede examinar muchos cambios en los que puede aparecer un riesgo razonable de ser tomado individualmente, pero cuando todos son considerados como un grupo, el efecto compuesto puede resultar en demasiada actividad de cambio. |
| ¿Qué pasa cuando la junta llega a la conclusión de que un grupo de cambios representa demasiada actividad de cambios? | Se responsabilizan de priorizar varios cambios, aprobar los más significantes, y recomendar que los demás sean reprogramados. |
| ¿En qué consiste la Disponibilidad de recursos? | Se evalúa a disponibilidad de personas, tiempo, y recursos de sistemas cuando se considera la programación y aprobación de cambios. |
| ¿En qué consiste la criticidad? | Los problemas que pueden afectar el impacto del cambio tal como lo ve el solicitante. |
| ¿Qué se revisa en la post implementación? | Se evalúa si los procedimientos de cambio fueron seguidos y si lograron sus objetivos; también considerar si la implementación y los planes de retroceso fueron adecuados y el estado final del cambio. |
| Qué se revisa en los Puntos de Origen e Iniciación del cambio? | Se identifica a los usuarios que inician cambios. Vendedores, operadores de computadoras, programadores de sistemas o aplicaciones, o usuarios finales son los que usualmente solicitan cambios |
| Los procedimientos deben garantizar que las solicitudes sean enviadas usando una solicitud de cambio estándar que contenga información como: | Fecha de solicitud Nombre de solicitante Razones del cambio Áreas que pueden ser afectadas por el cambio Aprobación para trabajar con e cambio y su implementación en el ambiente de producción |
| La urgencia de cada solicitud debe ser determinada y todos los cambios solicitados deben ser presentados por prioridad y fecha (V o F) | Verdadero |
| ¿Por qué se deben establecer puntos de control de cambios de emergencia? | Para registrar, documentar, y obtener subsecuente aprobación para cambios. |
| Cada solicitud de cambio debe ser enumerada secuencialmente e incluida en un registro de cambios en un punto central. (V o F) | Verdadero |
| Guardar la información en línea permite a la gerencia ejecutar una revisión subsecuente de todos los cambios por una variedad de razones. (V o F) | Verdadero |
| ¿Qué indica que una aplicación requiera una significante cantidad de recursos de cambio? | Puede indicar que la aplicación está alcanzando el punto en el su reemplazo sería un costo más efectivo. |
| ¿Qué se revisa en los puntos de aprobación? | Acuerdo por los cambios por parte de todas las áreas que serán impactadas o afectadas por los cambios próximos. |
| ¿Quienes deben ser notificados cuando un cambio ocurre? | Usuarios finales Vendedores Programadores Gerencia de TI Personal operacional Personal de control de datos Gerencia de red Auditores Proveedores de servicios de terceros |
| Una parte del proceso de aprobación que a menudo es pasada por alto: | Pruebas | Testeo |
| ¿Por qué se deben probar los cambios aprobados? | Para garantizar que no impacten negativamente a las aplicaciones. |
| ¿Cómo se agrupan los cambios de aplicaciones? | Cambios de sistema: No impactan al usuario final y usualmente mejoran la velocidad de Procesamiento de las aplicaciones Cambios de Funcionalidad: Cambios para el usuario final, deben ser probados por este. |
| No es necesario que se mantenga un registro de todos los cambios realizados en un sistema. (V o F) | Falso. Es necesario que las organizaciones registren todos sus cambios. |
| ¿Que pasa si no se tienen los registros de todos los cambios de un sistema? | Sin ellos, sería imposible determinar como afectarían el sistema los cambios propuestos. |
| Pasos en el proceso de revisión: | Cambios pendientes Cambio escrito Suficiente tiempo de respuesta Reuniones periodicas de control de cambio Reportes llenados en cambios implementados |
| El proceso de gestión de control de cambios debe estar documentado en la forma de una política organizacional (V o F) | Verdadero |
| ¿Qué es la gestión de configuración? | Es controlar el inventario físico y relaciones entre componentes que forman objetos base que están sujetos a cambio. |
| ¿Dónde definió los procesos de Gestión de Configuración de Software? | NIST lo define en su publicación 500-223 "Un marco de trabajo para el desarrollo y garantía de software de alta integridad". |
| ¿Cuales son los mayores objetivos de la Gestión de Configuración de Software (SCM)? | Hacer seguimiento de diferentes versiones de software y garantizar que cada version del software contenga las salidas exactas de software generadas y aprobadas para esa versión. |
| ¿De qué es responsable la Gestión de Configuración de Software? | De garantizar que cualquier cambio al software durante el desarrollo sean hechos de forma controlada y completa. |
| Actividades en un plan SCM: | Identificación de Items de Configuración de Software Reporte de problemas, seguimiento, acción correctiva Control de cambio Revisión de cambio Análisis de seguimiento Control de configuración Contabilidad del estado de configuración P.277 |
| ¿Qué es la gestión de cambio organizacional? | Se refiere a la habilidad de la organización y los métodos para adoptar, gestionar y adaptarse al cambio. |
| Un proyecto de TI puede ser considerado un producto de la cultura de la organización. (V o F) | Verdadero |
| ¿Por qué suelen fallar los proyectos de una organización? | Estudios sugieren que fallan debido a la inhabilidad de la organización a adaptarse a los cambios necesarios y tomar ventajas de TI. |
| ¿Qué es la cultura organizacional? | Se compone de estructuras para incentivos, políticas, soporte para relaciones inter-organizacionales, y repercusiones sociales. |
| ¿Cómo pueden impactar los incentivos ofrecidos por la organización? | Pueden impactar en el éxito de la organización en adaptarse al cambio ya que los usuarios no ven necesariamente |
| El Soporte Técnico y Organizacional es crítico para el uso efectivo de TI. (V o F) | Verdadero |
| ¿Qué incluye una infraestructura de soporte? | Prácticas organizacionales, personal de soporte clave, acceso a habilidades técnicas y organizacionales. |
| ¿Qué incluyen las implementaciones mayores de sistemas de TI? | Revisiones de procesos de negocios con el enfoque de la implementación, lo que ayuda a revisar los procesos de negocios en términos del cambio que será introducido al sistema. |
| Se cree que la influencia de las relaciones y redes sociales explica por qué algunas tecnologías son soportadas y otras no. (V o F) | Verdadero. |
| Un ejemplo de comunidad online exitosa: | Ebay |
| ¿Cuando deben ser gestionadas el cambio de estructura y cultura? | Durante el ciclo de vida, incluyendo personas, organización, y cultura. |
| ¿Qué se hace para facilitar el proceso de cambio? | Los usuarios deben estar involucrados en el diseño e implementación de los procesos de negocios y el sistema. |
| Los planes de capacitación y desarrollo profesional no son necesarios en todos los procesos de cambio (V o F) | Falso. Deben ser incorporados en cualquier esfuerzo por introducir cambios en la organización. |
| Capacitación de cambio es beneficioso para todos los empleados. (V o F) | Verdadero |
| Áreas cubiertas en auditoría de cambios: | Autorización Pruebas | Testeo Documentación Comunicación Controles |
| ¿Qué es la gestión de control de cambio? | Proceso que tiene un impacto en el ambiente de procesamiento, se define como cualquier modificación a programas que puede impactar los procesos de producción. |
| El proceso de producción incluye: | Disponibilidad del sistema Fiabilidad del sistema Integridad del sistema |
| Insuficientes controles de cambio se puede traducir en los siguientes riesgos: | Lista en pág 280 |
| ¿Cuál es el propósito de una auditoría de gestión de control de cambios? | Garantizar que los cambios implementados en los sistemas de producción y aplicaciones no afecte el sistema, aplicación, o disponibilidad y/o integridad de datos. |
| Los auditores necesitan verificar que todos los cambios hechos a los sistemas de producción y aplicaciones sean apropiadamente autorizados y documentados. (V o F) | Verdadero |
| Un factor crítico para la gestión de control de cambios es: | La cultura de una organización |
| La auditoría debería incluir procedimientos tales como: | Ver pág 280 |
| ¿Qué hace el auditor en una auditoría de gestión de control de cambios? | Obtiene la información de fondo necesaria, determina los controles clave, realiza pruebas sustantivas limitadas para evaluar la fiabilidad y efectividad de los controles de procesos, y evalúa los procesos. |
| El auditor debe tomarse el tiempo para: | Familiarizarse y entender el proceso de control de cambios. |
Created by:
Sebastián Sosa
Popular Engineering sets