Guía de Implementación del Marco de Ciberseguridad 5.0

SF.5 Establecer el mantenimiento de los componentes críticos

Requisito SF.5Establecer el mantenimiento de los componentes críticos
ObjetivoAsegurar la disponibilidad y vida útil del equipamiento mediante mantenimiento preventivo y/o correctivo, planificado y controlado.
Controles

Nivel 1

  • SF.5-1: se gestiona y/o realiza el mantenimiento sobre los activos del centro de procesamiento de datos.
  • SF.5-2: se aprueba el alta y baja de los usuarios que realizan mantenimiento de forma remota a los activos informáticos del centro de procesamiento de datos.

Nivel 2

  • SF.5-3: se establecen planes de mantenimiento para las dependencias de los componentes críticos.
  • SF.5-4: se establecen los planes anuales de mantenimiento.
  • SF.5-5: se gestiona el acceso a los usuarios autorizados para realizar las tareas de mantenimiento programado.

Nivel 3

  • SF.5-6: el RSI realiza la gestión de aprobación de los usuarios para conexión remota a los sistemas y activos de la organización, cumpliendo con el plan anual de mantenimiento.  
  • SF.5-7: existe una política y/o procedimiento documentado de mantenimiento (criterios de prioridad, coordinación con operación, pruebas de validación y comunicación de resultados).

Nivel 4

  • SF.5-8: existe un proceso de control interno para verificar el cumplimiento del procedimiento de mantenimiento y la calidad de la documentación asociada.
  • SF.5-9: tras cualquier mantenimiento en el que se detecten desviaciones o incidentes, se elabora un registro formal de lecciones aprendidas que incluya la descripción de lo ocurrido, el análisis de causas, las acciones correctivas adoptadas y la actualización de los procedimientos afectados.
Guía de implementación

Política de mantenimiento de los activos
Se debe contar con una política de mantenimiento del equipamiento que establezca objetivos, alcance, roles y responsabilidades, tipos de mantenimiento (preventivo, correctivo y de emergencia), y criterios de priorización por criticidad del servicio. La política debe contemplar tanto el equipamiento ubicado dentro del centro de procesamiento de datos como fuera del mismo, e incluir el relacionamiento con terceros (proveedores y servicios técnicos).

Clasificación y priorización
El mantenimiento debe planificarse considerando la criticidad de los activos y su impacto en los servicios de la organización. A igualdad de condiciones, se priorizarán los equipos vinculados a procesos críticos y aquellos cuyo tiempo de indisponibilidad pueda afectar objetivos regulatorios o contractuales. La priorización debe estar documentada y revisarse al menos una vez al año.

Plan de mantenimiento  
Se debe definir un plan que permita establecer las acciones preventivas y correctivas de todo el equipamiento que se encuentre fuera de los centros de datos, principalmente los equipos de los usuarios finales, a fin de mantener la adecuada disponibilidad de los componentes críticos, apoyado en los procesos de monitoreo para detectar alertar ante fallas, con el objetivo de prevenir daños y realizar el mantenimiento en los tiempos recomendados por los proveedores.

Gestión de accesos para mantenimiento
Previo a cada intervención, se debe autorizar el acceso de técnicos internos o externos, habilitando cuentas temporales y con privilegios mínimos estrictamente necesarios. El acceso debe quedar registrado (fecha/hora, persona, tarea, activo intervenido). Para personal externo, se deben contemplar acuerdos de confidencialidad y, cuando aplique, acompañamiento o supervisión del personal de la organización.

Mantenimiento correctivo y de emergencia
Se debe definir un flujo abreviado para tareas correctivas y emergencias, con criterios de activación, responsables de aprobación rápida y comunicación a las áreas afectadas. Finalizada la intervención, se documentará el incidente, se validará el servicio y se realizará un breve análisis de causa raíz para determinar acciones preventivas.

Registros y trazabilidad
Cada tarea debe generar un registro con: número de orden, fecha y hora, personal interviniente, descripción de actividades, activos afectados, repuestos utilizados, resultados de pruebas, reposición de sellos/barreras y validación del servicio. La documentación debe ser suficiente para reconstruir la intervención y respaldar auditorías.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Plan anual de mantenimiento aprobado y actualizado.
  • Listado de usuarios autorizados para tareas de mantenimiento programado y registros de accesos.  
  • Bitácora de acceso de personal interno o externo que realice las actividades o labores de mantenimiento al equipamiento en general.
  • Documentación de los controles de cambio para el mantenimiento de los componentes críticos.
  • Registros de mantenimiento realizados sobre activos del centro de procesamiento de datos (planillas, órdenes de trabajo, reportes de proveedores).  
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay