Tipos de Cambio.
- Cambios Estándar.
- Cambios preautorizados de bajo riesgo que son bien entendidos y completamente documentados y se pueden implementar sin la necesidad de autorizaciones adicionales.
- Generalmente iniciados como peticiones de servicio o cambios operacionales.
- Cambios Normales.
- Cambios que deben ser programados, evaluados y autorizados siguiendo un proceso.
- Algunos pueden ser de bajo riesgo y otros cambios mayores.
- Cambios de Emergencia.
- Cambios que deben ser implementados lo antes posible. Ejemplo: para resolver un incidente o implementar un parche de seguridad.
- No se incluyen en el calendario de cambios y el proceso para evaluación y autorización es rápido para asegurar que se implementen lo más rápidamente posible.
- Puede existir una autoridad de cambios separada incluyendo a gerentes con experiencia que entiendan los riesgos de negocio.
En las organizaciones de alta velocidad, es una práctica común descentralizar la aprobación del cambio, lo que hace que la revisión por pares sea un predictor principal de alto rendimiento.
Los diferentes cambios tratan la autorización de manera diferente.
Los cambios estándar no requieren ninguna autorización adicional y pueden implementarse siempre que sigan un flujo de trabajo o una estructura predefinidos. Los riesgos en torno a los cambios estándar generalmente se evalúan por adelantado y el flujo de trabajo y el procedimiento en torno al cambio se acuerdan.
Ejemplo de un cambio estándar puede ser la actualización de software de virus; agregar o quitar memoria del servidor.
Los cambios normales pueden representar un riesgo bajo o un alto riesgo para las organizaciones. Para los cambios de bajo riesgo, la autoridad de cambio suele ser alguien que puede tomar decisiones rápidas, a menudo utilizando la automatización para acelerar el cambio. Ejemplo de cambio de archivos de configuración dentro de una aplicación. Para cambios importantes, la autoridad de cambio podría ser tan alta como la junta directiva (o equivalente). Aunque este tipo de autorización puede tomar un poco más de tiempo, es importante comprender el impacto y el riesgo para la organización para garantizar que el cambio esté bien planificado y que el riesgo se entienda en los niveles correctos. Ejemplo de cambio de funcionalidad dentro de un paquete de software.
Los cambios de emergencia a menudo son de alto riesgo, por lo que, aunque la autorización puede acelerarse, es fundamental garantizar que todos los actores del rol comprendan el riesgo para la organización. Un ejemplo puede ser que una unidad puede necesitar ser reemplazada después de que haya funcionado mal.
Calendario de cambios.
- Utilizado para ayudar a planear los cambios, asistir en la comunicación, evitar conflictos y asignar recursos.
- Puede ser utilizado después del despliegue de los cambios para proveer información para la gestión de incidentes, problemas o planeación de mejoras.
“Independientemente de quién sea la autoridad de cambio o qué tipo de cambio sea, puede haber una necesidad de comunicar el cambio en toda la organización. El calendario de cambios se puede utilizar para este propósito.
Como parte de la actividad de evaluación de riesgos, es importante comprender qué otros cambios se planean y quién está involucrado. Además, generalmente existe la necesidad de comunicar información sobre el cambio para garantizar que las personas en TI y el negocio estén completamente preparados antes de que se implemente“.