¿Ejemplos conocidos de solicitud de cambio falsificada?

4

Una solicitud de cambio de un cliente (en el sentido comercial de la palabra) a una organización que suministra un sistema de TI a ese cliente, puede agregar o modificar los requisitos para ese sistema. ¿Hay algún ejemplo conocido en el que el contenido de dicha solicitud de cambio haya sido manipulado por un tercero malintencionado y se haya implementado el comportamiento adicional o modificado en ese sistema sin el conocimiento o consentimiento del cliente?

Para los sistemas de TI donde la seguridad es una prioridad, ¿es necesario autenticar dichas solicitudes de cambio, o es simplemente demasiado paranoico?

    
pregunta D.H. 13.06.2013 - 12:14
fuente

1 respuesta

1

Por lo general, los flujos de trabajo de solicitudes de cambio tienen pasos bien definidos, por ejemplo:

Plan: el implementador crea el ticket de solicitud de cambio y lo completa con los detalles de la implementación (scripts o cualquier información técnica que se necesite para implementar el cambio por completo)

Discusión y aprobación de primer nivel: un comité técnico analiza el cambio propuesto y aprueba o solicita que se vuelva a planificar. Después de este paso es imposible cambiar el contenido del cambio propuesto.

Aprobación final: las solicitudes aprobadas previamente se envían a un segundo comité, esta vez el cliente está aprobando directamente los cambios propuestos.

Implementación: el cambio aprobado se implementa y se recopilan pruebas.

Revisión y cierre: se revisa la evidencia del cambio y finalmente se cierra el cambio.

Este ciclo evitaría que alguien manipule una solicitud debido a varias oportunidades para detectarla (antes y después de la implementación)

    
respondido por el drak 18.06.2013 - 23:41
fuente

Lea otras preguntas en las etiquetas