Registro de cambios de directivas

1) Propósito y valor

¿Por qué?

Historia transparente del cambio: quién, qué, cuándo y por qué.
Cumplimiento de auditores/reguladores (ISO 27001, SOC 2, PCI DSS, GDPR y normas locales).
Gestión de riesgos: conjunto de cambios con evaluaciones de riesgos, incidentes y planes CAPA.
Una única fuente de verdad para empleados, proveedores y socios.

Resultado: se reduce el riesgo operativo y de cumplimiento, se aceleran las auditorías e investigaciones, se reduce el tiempo de onboarding.

2) Alcance (scope)

• Seguridad y acceso: políticas de IB, gestión de incidentes, vulnerabilidades, claves/cifrado, gestión de secretos, política de contraseñas, IAM.
• Datos y privacidad: GDPR/DSAR/RTBF, almacenamiento y eliminación, clasificación de datos, DLP, registros y auditoría.
• Finanzas/AML/KYC: AML/KYB/KYC, cribado de sanciones, confirmación de la fuente de fondos.
• Operaciones: BCP/DRP, gestión de cambios, política de lanzamiento, RACI, SRE/SLO.
• Legal/regulatorio: requisitos locales de los mercados, restricciones publicitarias, juego responsable.

3) Roles y Responsabilidades (RACI)

R (Responsable): Propietario de la política (Policy Owner) y Editor (Policy Editor).
A (Accountable): El propietario del documento de dominio/CISO/Head of Compliance.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informados): Todos los empleados, contratistas externos (según sea necesario).

Principios: control dual por publicación; segregación de responsabilidades; consultas obligatorias de la Ley/DPO para los temas PII/regulatorios.

4) Ciclo de vida del cambio

1. Iniciativa: desencadenante (requisito regulatorio, auditoría de fondos, incidente, pentesto, cambio de arquitectura).
2. Borrador: cambio en el sistema de gestión de documentos (Confluence/Git/Policy CMS).
3. Evaluación de impacto: en procesos, registro de riesgos, capacitación, contratos, integraciones.
4. Acuerdo: Legal/DPO/Compliance/Tech/Operations, aprobación final por el propietario.
5. Publicación: asignación de versión, fecha de entrada en vigor, boletín.
6. Onboarding: formación/recepción, actualización SOP/Runbook.
7. Monitoreo: control de cumplimiento, métricas, retrospectiva.

5) Modelo de datos de registro (campos obligatorios)

'policy _ id' es un ID de directiva permanente.
'policy _ title' es el nombre del documento.
'change _ id' es un identificador de cambio único.
'versión' es una versión semántica (MAJOR. MINOR. PATCH) o fechado.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Requisitos de versión y tipos de cambios

MAJOR: cambia los requisitos/controles obligatorios, afecta la auditoría/riesgos; requiere formación y un período de transición.
MINOR: aclaraciones, ejemplos, no cambian el control en esencia.
PARCHE: editar ortografía/referencias; fast-track.
URGENT: revisión urgente debido a un incidente/vulnerabilidad; publicación en orden acelerado.
REGLAMENTO: actualización en relación con el nuevo acto regulador/carta reguladora.

Versionar: capturar etiquetas/versiones; immutable artefactos PDF/HTML con hash.

7) Negociación de flujo de trabajo

1. Draft → Review: comprobación automática de plantillas, enlaces y metadatos.
2. Revisión múltiple: Legal/DPO/Compliance/Tech/Operations (paralelo/secuencial).
3. Approval: propietario del dominio + Accountable.
4. Publish: generación de notas de lanzamiento, entrada en el Diario, boletín, actualización "effective_from".
5. Acknowledgement: recogida del recibo de los empleados (LMS/HRIS).
6. Controles postales: tareas para actualizar SOP/contratos/scripts.

Regla de dos claves: la publicación sólo es posible con 2 + negociaciones de la lista de roles aprobados.

8) Fijación legal y congelación (Legal Hold)

Cuándo: investigación, solicitud judicial, revisión regulatoria.
Qué hacemos: la bandera 'hold _ flags = [«legal»]', la versión de borrado/revisión de congelación, el archivo WORM, el registro de acciones de Hold.
Retiro Hold: solo Legal/DPO; todas las acciones están protocolizadas.

9) Privacidad y regulaciones locales

Minimizar el PII en el registro (almacene el ID de empleo en lugar del correo electrónico, si es posible).
Períodos de retención = «horarios de almacenamiento» (registros de políticas generalmente de 5-7 años).
DSAR/RTBF: el registro está excluido de la eliminación si existe una obligación legal de almacenamiento; fijamos la base legal.

10) Integraciones

Confluence/Docs/Git: fuente de ediciones y artefactos (diff, PDF).
IAM/SSO: roles y atributos de los empleados; auditar el acceso al registro.
LMS/HRIS: entrenamiento, pruebas, recibo.
GRC/APROM: relación con riesgos, controles, SARA/planes.
SIEM/Logs: auditoría de las operaciones sobre el registro (que ha visto/exportado).
Ticketing (Jira/YouTrack): tareas de iniciación y listas de comprobación.

11) Métricas y SLO

Cobertura:% de directivas actualizadas con la última entrada del registro (objetivo ≥ 99%).
Time-to-Publish: mediana de tiempo desde 'submitted _ at' hasta 'published _ at' (objetivo ≤ 14 días; urgent ≤ 48 horas).
Ack-rate: porcentaje de empleados que confirmaron la revisión (objetivo ≥ 98% en 14 días).
Audit-readiness: proporción de políticas con un conjunto completo de artefactos (diff, PDF, firmas) (objetivo 100%).
Exceptions cerrado:% de excepciones/desviaciones cerradas por fecha de vencimiento.
Auditoría de acceso: 0 incidentes de acceso no autorizado al registro.

12) Dashboard (conjunto mínimo de widgets)

Cinta de las últimas publicaciones y entradas en vigor.
Mapa de estados por dominio (Security, Data, AML, Ops).
Tarjeta térmica de vencimiento de la negociación.
El histograma Time-to-Publish/Time-in-Review.
Ack-rate por departamentos y roles.
Lista de cambios abiertos REGULATORY/URGENT.

13) Procedimientos y plantillas

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Se han rellenado todos los campos obligatorios y referencias a artefactos
• Se realizó una evaluación de impacto y se actualizaron los riesgos
• Negociaciones recibidas (dual-control)
• Paquete immutable formado (PDF + hash)
• Mails y ack-campaign configurados
• SOP/Runbooks/Contratos actualizados (si es necesario)

14) Control de acceso y seguridad

RBAC: roles de lectura/creación/aprobación/archivado.
Just-in-Time: autoridad temporal para publicar/exportar.
Cifrado: TLS in-transit, KMS at-nat; Prohibición de las exportaciones anónimas.
Auditoría: registros de todas las operaciones, alertas a acciones inusuales (exportaciones masivas, revisiones frecuentes).

15) Implementación por pasos

1. Directorio de políticas y sus propietarios.

2. Plantilla de registro único + campos obligatorios.

3. Registro en Confluence/Notion o simple Policy-CMS; exportar immutable PDF.

4. Negociación básica de flujo de trabajo y ack-campaña a través del correo/LMS.

5. Funciones de acceso y registro de actividades.

• Integración con Git para diff y versificación semántica.
• Ligamentos GRC con riesgos/controles, informes de auditoría.
• Dashboard KPI/SLO, recordatorios de fecha y hora automáticos.

• API/webhooks para sistemas externos, comprobación de conformidad de código de regla a plantilla.
• Legal Hold + archivo WORM, cifrado de paquetes de lanzamiento.
• Multiuridencialidad (etiquetas por mercado/idiomas/versiones).

16) Errores frecuentes y cómo evitarlos

Cambios fuera del registro: prohibición de publicaciones sin registro, comprobaciones automáticas.
No hay rationale/links: haga que el campo sea obligatorio + plantillas de origen (regulador, auditoría, incidente).
Sin control ack: integre LMS/HRIS y realice un seguimiento de los KPI.
Mezcla de borradores y publicaciones: utilice espacios/ramas individuales.
Acceso a «todos»: RBAC estricto, auditoría de lectura de exportación.

17) Glosario (breve)

Política - Documento de gestión con requisitos obligatorios.
Standard/Procedure/SOP - Detalle y orden de ejecución.
CAPA - acciones correctivas y de advertencia.
Acknowledgement (ack) - Confirmación de la familiaridad del empleado.
Legal Hold - Congelación legal de cambios/eliminaciones.

18) Resultado

El registro de cambios de políticas no es solo un «historial de revisiones», sino un proceso administrado con roles claros, modelo de datos, controles de acceso, fijación legal y métricas. Su aplicación madura acelera las auditorías, reduce los riesgos de incumplimiento y aumenta la disciplina operativa en toda la organización.