Guía de implementación | Política de mantenimiento de los activos Se debe contar con una política de mantenimiento del equipamiento que establezca objetivos, alcance, roles y responsabilidades, tipos de mantenimiento (preventivo, correctivo y de emergencia), y criterios de priorización por criticidad del servicio. La política debe contemplar tanto el equipamiento ubicado dentro del centro de procesamiento de datos como fuera del mismo, e incluir el relacionamiento con terceros (proveedores y servicios técnicos). Clasificación y priorización El mantenimiento debe planificarse considerando la criticidad de los activos y su impacto en los servicios de la organización. A igualdad de condiciones, se priorizarán los equipos vinculados a procesos críticos y aquellos cuyo tiempo de indisponibilidad pueda afectar objetivos regulatorios o contractuales. La priorización debe estar documentada y revisarse al menos una vez al año. Plan de mantenimiento Se debe definir un plan que permita establecer las acciones preventivas y correctivas de todo el equipamiento que se encuentre fuera de los centros de datos, principalmente los equipos de los usuarios finales, a fin de mantener la adecuada disponibilidad de los componentes críticos, apoyado en los procesos de monitoreo para detectar alertar ante fallas, con el objetivo de prevenir daños y realizar el mantenimiento en los tiempos recomendados por los proveedores. Gestión de accesos para mantenimiento Previo a cada intervención, se debe autorizar el acceso de técnicos internos o externos, habilitando cuentas temporales y con privilegios mínimos estrictamente necesarios. El acceso debe quedar registrado (fecha/hora, persona, tarea, activo intervenido). Para personal externo, se deben contemplar acuerdos de confidencialidad y, cuando aplique, acompañamiento o supervisión del personal de la organización. Mantenimiento correctivo y de emergencia Se debe definir un flujo abreviado para tareas correctivas y emergencias, con criterios de activación, responsables de aprobación rápida y comunicación a las áreas afectadas. Finalizada la intervención, se documentará el incidente, se validará el servicio y se realizará un breve análisis de causa raíz para determinar acciones preventivas. Registros y trazabilidad Cada tarea debe generar un registro con: número de orden, fecha y hora, personal interviniente, descripción de actividades, activos afectados, repuestos utilizados, resultados de pruebas, reposición de sellos/barreras y validación del servicio. La documentación debe ser suficiente para reconstruir la intervención y respaldar auditorías. |