Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• GA.1-1: se confecciona y mantiene un inventario de activos físicos del centro de procesamiento de datos, incluyendo servidores, dispositivos de red, racks, UPS y otros componentes relevantes.
• GA.1-2: se elabora y mantiene un inventario detallado del software base (ej.: sistemas operativos, servidores de aplicación, servidores de base de datos, hipervisores) y del software de aplicación instalado en los activos del centro de procesamiento de datos.
• GA.1-3: cada activo registrado en el inventario debe tener un responsable asignado, cuya información debe estar documentada en el sistema de gestión de activos o inventario utilizado.

Nivel 2

• GA.1-4: el inventario de activos físicos debe incluir todos los dispositivos utilizados dentro y fuera del centro de procesamiento de datos, tales como estaciones de trabajo (PCs), dispositivos de almacenamiento extraíble, impresoras, dispositivos de red, entre otros.
• GA.1-5: el inventario debe incluir las plataformas de software y aplicaciones implementadas, independientemente de su ubicación física o modalidad (on premise o en la nube).
• GA.1-6: se debe llevar un control actualizado del licenciamiento del software instalado, incluyendo información sobre tipo de licencia, vigencia y uso asignado.
• GA.1-7: el inventario debe estar debidamente documentado y accesible para las personas autorizadas por la organización.

Nivel 3

• GA.1-8: las políticas, procesos y procedimientos para la actualización del inventario de activos deben estar formalmente documentados.
• GA.1-9: la organización debe utilizar una herramienta de software especializada para registrar, seguir y controlar sus activos de información y tecnológicos.
• GA.1-10: los procesos y procedimientos de actualización del inventario deben incorporar, total o parcialmente, mecanismos de automatización.
• GA.1-11: se debe establecer y mantener un proceso de control y monitoreo continuo del licenciamiento del software, con alertas ante vencimientos o irregularidades.

Nivel 4

• GA.1-12: se realizan auditorías internas periódicas para verificar el cumplimiento y alineación de la política y los procedimientos establecidos.
• GA.1-13: se elimina el software y/o hardware que esté fuera de soporte o que represente un riesgo no aceptable.

Inventario de activos 
Se debe identificar e inventariar los activos que contienen información y las instalaciones de su procesamiento, incluyendo todo activo que tenga asignada una IP e incluyendo los servicios alojados en la nube.

Asimismo, es necesario identificar el software de base y de aplicación. Es importante identificar la ubicación de los activos de información y, de ser posible, si se trata de un dispositivo móvil (celulares, notebooks, tablets, etc.) y/o si es personal o de la organización.  

Responsables de los activos 
Se debe identificar un responsable de gestión para cada activo mantenido en el inventario.  

Herramientas de apoyo 
Es recomendable la utilización de software de inventario que permita su clasificación y, cuando sea posible su uso, que se definan procesos que permitan la automatización del inventario. Dichos procesos (y/o procedimientos asociados) deben documentarse.

• Inventario de los activos de la organización.
• Responsable de cada uno de los activos definidos en el inventario de activos.
• Procedimiento de administración de activos.
• Procedimientos o instructivos formales de alta, baja y modificación de activos.
• Capturas o informes de la herramienta de inventario utilizada.
• Evidencia de automatización en las políticas, procesos y/o procedimientos.
• Controles o reportes de licenciamiento de software y su monitoreo continuo.
• Registros de auditorías internas.