Objetivo | Mantener el número óptimo de licencias para soportar de forma adecuada los requerimientos de las operaciones y documentar su uso. |
Controles | Nivel 1 - CN.4-1: se lleva control del licenciamiento de software de equipos servidores.
Nivel 2 - CN.4-2: se han definido responsables para la gestión del ciclo de vida del licenciamiento, incluyendo adquisición, asignación, renovación y baja.
- CN.4-3: se lleva control del licenciamiento de software de equipos personales.
Nivel 3 - CN.4-4: el inventario centralizado de software instalado en la organización debe permitir asociar licencias activas con las instalaciones detectadas.
Nivel 4 - CN.4-5: se realiza una revisión periódica del uso real de licencias adquiridas para detectar sobrelicenciamiento o subutilización.
- CN.4-6: se realizan análisis periódicos del cumplimiento de los términos y condiciones de uso de las licencias adquiridas.
|
Guía de implementación | Se debe mantener al día la documentación que acredite la propiedad de las licencias de software, así como cumplir con sus términos y condiciones de uso. Se debe contar con información que indique en qué momento se adquirieron las licencias, si están asociadas a un contrato y en uso. En ese caso, también se debe contar con información que indique cuántas son y en dónde se encuentran instaladas, su costo, etc. |
Instituciones de salud | No aplica |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría | - Documentación asociada al licenciamiento.
- Evidencia de las revisiones de licenciamiento realizadas en el período auditado.
- Inventario de equipamiento y detalle de software instalado.
- Para cada software instalado, detalle del servidor, indicar si se utiliza virtualización, detalle de la contingencia (hot, warm, etc.), entre otros.
|
Normativa asociada | No aplica |