Separacion de ambientes

Para muchos suena extraño el tema de separar ambientes como requisito de control de la Norma ISO27001.

Incluso muchos de nosotros mal entendemos el concepto. Veamos una explicación sencilla de lo que significa Separacion de ambientes.

Que son ambientes?
En TI; los ambientes se conocen como aquellos recursos destinados a:
1. Producción
2. Aseguramiento de Calidad o QA
3. Desarrollo
4. Pruebas

El primer error que cometemos es confundir los términos QA con Pruebas y/o Desarrollo.
El segundo error es confundir el tipo de datos que emplea cada ambiente.
El tercer error es pretender que cualquier PC o servidor pequeño con disco local puede ser un ambiente de QA o incluso Pruebas o desarrollo.

Quizá la plataforma a nivel mundial que mantiene y exige todos sus ambientes como parte integral de la solución es SAP.

Aunque es una Mejor Práctica y forma parte de sus exigencias contractuales, esto convierte a SAP generalmente en una plataforma costosa, debido a la cantidad de infraestructura que requiere. Pero, los costos se justifican por la estabilidad, seriedad y calidad de la solución la cual no podría ser garantizada si estos ambientes no estuvieran presentes.

Como dijimos, los ambientes son los recursos necesarios dirigidos a cubrir las demandas de la plataforma en todo su ciclo de vida.
Estos recursos son Procesamiento, Almacenamiento e infraestructrua de red. Así como las personas y los procesos.

Separar ambientes requiere un rediseño de la red. Si queremos ser estrictos a nivel de controles de la ISO27001, separar ambientes no es solo tener máquinas dedicadas, sino también tener segmentos de red separados que aislen esos recursos y contribuyan a que los procesos de ITIL, como Gestión del Cambio o Paso a Producción sean seguidos por todos.
Incluso, yendo un poco más allá, algunas empresas no enrutan sus segmentos dedicados a Pruebas y Desarrollo, para evitar el trasteo de datos de un ambiente a otro, sin el control adecuado.