Normas sobre Tecnologías de la Información y Comunicación - NORTIC

Normas sobre Tecnologías de la Información y Comunicación - NORTIC

Gestión del departamento de TIC

En este capítulo se establecen las directrices para la gestión del departamento de TIC, especificando cómo este debe estar estructurado organizacionalmente, las políticas departamentales para una gestión efectiva, cómo deben gestionar los servicios de TIC y cómo llevar el control de los activos que están bajo la responsabilidad del departamento.

  • Estructura del departamento de TIC Abrir o Cerrar

    Se ha dispuesto una estructura organizacional que consta de 5 áreas básicas, las cuales deben cumplir con los roles establecidos para cada una de estas áreas, así como 3 modelos de estructura organizacional y dos formas para la selección de uno de estos modelos basado en una serie de criterios y tablas de ponderaciones.

    Estructura organizacional

    1. Todo organismo gubernamental debe organizar la estructura departamental de TIC, de acuerdo con todas las directrices especificadas en la resolución 51-2013 elaborada entre la OPTIC y el MAP.

    2. La gestión del departamento de TIC debe agruparse en 6 grandes áreas básicas y cumplir con los roles asignados a cada una:

      1. Unidad TIC: Tiene bajo su cargo las responsabilidades indicadas en el punto sobre Políticas generales del departamento TIC.

        1. Administración de los procesos de TIC: Responsable de planificar y coordinar todas las actividades de evaluación de procesos. Brinda apoyo a las partes involucradas en la gestión y mejoramiento de los procesos, especialmente a los propietarios del mismo. Este rol también coordina los cambios a procesos, y por tanto, se asegura de que estos interactúen perfectamente entre sí. También es responsable de determinar y velar por el cumplimiento de las estrategias de tecnología verde en el organismo.

        2. Administración del portafolio de servicios: Determina la estrategia del servicio al cliente y desarrolla las ofertas y capacidades del proveedor de servicios.

        3. Administración del perfeccionamiento continúo del servicio: A cargo de gestionar mejoras a los procesos de administración sobre servicios de TIC. Tomará medidas continuamente del rendimiento del proveedor de servicios y diseñará mejoras a los procesos, servicios e infraestructura, de manera que se aumente la efectividad y la rentabilidad.

        4. Administración del cumplimiento y calidad de TIC: A cargo de gestionar todas las actividades relacionadas con el aseguramiento de la calidad de los servicios de TIC para que estos cumplan con los niveles de satisfacción acordados con las áreas que requieran servicios del departamento de TIC.

      2. Desarrollo e implementación de sistemas: Debe responsabilizarse de todas las actividades relacionadas con el diseño, desarrollo, implementación y soporte de los programas y sistemas que apoyan los procesos esenciales de los organismos.

        1. Análisis de sistemas: Responsable de la administración de todo el ciclo de vida del desarrollo de sistemas para las aplicaciones que den soporte a los procesos del organismo gubernamental. Se encarga de recibir e interpretar las necesidades de los usuarios en torno a la funcionalidad requerida de los sistemas. Es responsable del diseño de las aplicaciones necesarias para la prestación de un servicio y sirve de enlace entre las áreas que requieran servicios y el área de desarrollo de sistemas. Se asegura de que las versiones implementadas y los servicios resultantes cumplan las expectativas del cliente, y verifica que las operaciones de TIC puedan brindar apoyo a los servicios nuevos. 

        2. Programación: Se ocupa de que las aplicaciones y los sistemas provean la funcionalidad necesaria para que los servicios de TIC estén disponibles. Esto incluye el desarrollo y el mantenimiento de aplicaciones internas. Es responsable de planificar, programar y controlar el movimiento de ediciones en ambientes reales y de prueba. Su objetivo principal es salvaguardar la integridad en el ambiente real y que se utilicen los componentes correctos.

      3. Operaciones de TIC: Debe responsabilizarse de todas las actividades relacionadas con la operación y administración de la infraestructura tecnológica (servidores, bases de datos, redes, entre otros), así como el aseguramiento de la continuidad de las operaciones.

        1.  Administración de servidores: Responsable de mantener la integridad y seguridad de los servidores y sistemas que soportan las operaciones del organismo gubernamental.

        2. Administración de bases de datos: Responsable de la administración de las bases de datos, así como la programación, resolución de problemas y otros servicios técnicos relacionados con las mismas.

        3. Administración de la configuración: Responsable de dar mantenimiento a la información requerida sobre elementos de configuración de la infraestructura de TIC y gestionar dicha información a través de la Base de Datos de la Gestión de Configuración (CMDB, por sus siglas en inglés). Debe monitorear periódicamente la configuración de los sistemas en el ambiente de producción y compararla con la información almacenada en la CMDB para subsanar posibles discrepancias. Además, es responsable del levantamiento, actualización y control del inventario de los bienes bajo responsabilidad del departamento de TIC. 

        4. Administración de redes y comunicaciones: Responsable de mantener en funcionamiento, así como dar mantenimiento a los elementos de red y comunicación que soportan las operaciones del organismo gubernamental. También es responsable de la generación de reportes y mantenimiento al sistema de IVR.

        5. Administración de la continuidad de TIC: Responsable de gestionar aquellos riesgos que podrían afectar severamente la prestación de los servicios de TIC. Se asegura de que el desempeño del proveedor de servicios de TIC cumpla los requisitos mínimos del nivel de servicio, en caso de desastres, mediante reducción del riesgo a un nivel aceptable y la planificación de la restauración de los servicios de TIC.

      4. Administración del servicio de TIC: Debe responsabilizarse de todas las actividades de soporte técnico a la infraestructura tecnológica, incluyendo el soporte funcional y mesa de ayuda a los usuarios de los servicios de TIC.

        1. Mesa de ayuda: Responsable de registrar y clasificar los incidentes reportados y llevar a cabo esfuerzos inmediatos para restaurar lo antes posible un servicio de TIC que ha fallado. Cuando no se encuentre una solución adecuada a estos fines, la mesa de ayuda refiere el incidente a los grupos de apoyo técnico especializados (soporte técnico). La mesa de ayuda también mantiene informados a los usuarios acerca del estatus de los incidentes cada cierto tiempo.

        2. Soporte técnico: A cargo de los incidentes que no pueden ser resueltos con los recursos de la mesa de ayuda. De ser necesario, requerirá apoyo externo de proveedores de programas y de hardware, así como de otras unidades del departamento de TIC. 

          La meta del soporte técnico es restaurar un servicio de TIC fallido en el menor tiempo posible, de modo que si esta unidad no encuentra la solución, el incidente debe ser referido a administración de incidentes y problemas.

          El soporte técnico es el responsable de realizar todas las instalaciones, reinstalaciones y desinstalaciones de software en los equipos de los usuarios.

        3. Administración de incidentes y problemas: Responsable de la implementación efectiva del proceso de administración de incidentes y problemas, y preparar los informes correspondientes. Ofrece representación durante la primera fase de escalado de incidentes, cuando no se pueden solucionar en el marco de los niveles de servicio acordados.

          Es responsable de gestionar el ciclo de vida de todos los problemas. Su objetivo principal es la prevención de incidentes y la minimización del impacto de aquellos que no se pueden evitar.

      5. Seguridad y monitoreo: Debe responsabilizarse de todas las actividades relacionadas con la definición e implementación de políticas de seguridad de la información, control y monitoreo de los accesos a los sistemas de información.

        1. Administración y monitoreo de la seguridad de TIC: A cargo de salvaguardar la confidencialidad, integridad y disponibilidad de los activos, información, datos y servicios de TIC del organismo gubernamental, así como de la recuperación de estos en caso de pérdida. También se ocupa de llevar a cabo el borrado seguro de la información.

          Se encarga de definir e implementar los sistemas de detección y respuesta a incidentes relacionados con la seguridad de TIC.

        2. Administración de accesos: Concede el derecho a usar un servicio a usuarios autorizados, mientras previene el acceso de usuarios no autorizados. Ejecuta políticas definidas por el personal de administración y monitoreo de la Seguridad de TIC.
      6. Administración de proyectos de TIC: Debe responsabilizarse de todas las actividades relacionadas con la administración y coordinación de la implementación de proyectos de TIC.

        1. Oficina de administración de proyectos de TIC: Responsable de la planificación, coordinación, administración y seguimiento de los proyectos de TIC, asimismo, debe identificar posibles riesgos que puedan afectar los proyectos e identificar acciones de mitigación de los riesgos.

     

    Modelos de la estructura de TIC

    Cada organismo debe adoptar uno de los tres modelos establecidos para la organización de las unidades institucionales de TIC, de acuerdo a los siete criterios especificados en la tabla No. 1. sobre modelos de estructuras de TIC.

     

    Criterios

    Definición

    Categorías

    A

    B

    C

    Número de empleados

    Cantidad de empleados en la nómina del organismo.

    Más de 2,000

    De 501 a 2,000

    De 1 a 500

    Localidades

    Cantidad de edificaciones que sirven de lugar de trabajo para el personal del organismo.

    Más de 14

    De 6 a 14

    De 1 a 5

    Complejidad de aplicaciones desarrollo interno

    Nivel de complejidad de las aplicaciones que brindan soporte de desarrollo en el organismo.

    Alta

    Más de 50 usuarios, frecuencia de cambios al menos bimensual, arquitectura de desarrollo multi-capa.

    Media

    Hasta 50 usuarios, frecuencia de cambios al menos semestral, arquitectura de desarrollo de dos capas.

    Baja

    Hasta 10 usuarios, frecuencia de cambios anual, arquitectura de una capa.

    Estaciones de trabajo

    Cantidad de estaciones de trabajo (computadoras de escritorio o portátiles) en el organismo.

    Más de 750

    De 201 a 750

    De 1 a 200

    Número de Servidores

    Cantidad de equipos de computación que fungen como servidores en el organismo.

    Más de 40

    De 9 a 40

    De 1 a 8

    Centro de datos de  contingencia

    Este se refiere a aquellos organismos que cuentan con un centro de procesamiento de datos alterno.

    No

    No

    Administra sistemas de impacto externo

    Los sistemas de impacto externo son aquellos utilizados de forma transversal para más de un organismo.

    No

    No

     

    Tabla No. 2. Modelos de estructuras de TIC

    Selección del modelo de estructura de TIC

    1. Cada organismo debe seleccionar el modelo de estructura de TICcorrespondiente, mediante uno de los dos métodos de asignaciones establecidos para este fin:

      1. Asignación simple: Debe tomarse directamente un modelo de las tres categorías definidas, en base a una asignación de categoría, según una serie de criterios seleccionados.

        1. En la asignación simple, debe determinarse la categoría que más se ajusta a cada organismo, ubicando el organismo en la categoría que corresponda, (“A”, “B” o “C”), según los criterios definidos en la tabla anterior.

        2. La categoría final que corresponde asignar al organismo, para definir su estructura, es aquella en la cual más criterios le coinciden.

      2. Asignación compuesta: Debe tomarse como base la categoría asignada por el modelo de asignación simple y se modifican las áreas básicas específicas utilizando las ponderaciones que se detallan en las siguientes tablas de ponderación para selección compuesta de la estructura del departamento de TIC.

     

    Área básica: TIC

    Existencia:

    Requerido para todos los modelos de estructura.

    Ponderación de criterios

    Criterios

    Ponderación

    Número de empleados

    20%

    Localidades

    20%

    Complejidad de aplicaciones desarrollo interno

    10%

    Estaciones de trabajo

    20%

    Número de servidores

    10%

    Centro de datos de contingencia

    10%

    Administra sistema de impacto externo

    10%

    Área básica: Desarrollo e implementación de sistemas

    Existencia:

    Requerido para instituciones que realizan mantenimiento a aplicaciones.

    Ponderación de criterios

    Criterios

    Ponderación

    Número de empleados

    10%

    Localidades

    10%

    Complejidad de aplicaciones desarrollo interno

    30%

    Estaciones de trabajo

    10%

    Número de servidores

    10%

    Centro de datos de contingencia

    10%

    Administra sistema de impacto externo

    20%

    Función básica: Operaciones de TIC

    Existencia:

    Requerido para todos los modelos de estructura.

    Ponderación de criterios

    Criterios

    Ponderación

    Número de empleados

    10%

    Localidades

    20%

    Complejidad de aplicaciones desarrollo interno

    5%

    Estaciones de trabajo

    25%

    Número de servidores

    20%

    Centro de datos de contingencia

    15%

    Administra sistema de impacto externo

    5%

    Área básica: Administración del servicio

    Existencia:

    Requerido para todos los modelos de estructura.

    Ponderación de Criterios

    Criterios

    Ponderación

    Número de empleados

    20%

    Localidades

    20%

    Complejidad de aplicaciones desarrollo interno

    5%

    Estaciones de trabajo

    20%

    Número de servidores

    20%

    Centro de datos de contingencia

    10%

    Administra sistema de impacto externo

    5%

    Área básica: Administración de proyectos TIC

    Existencia:

    Requerido para organismos con más de 4 proyectos de TIC que impacten al menos el 50% de la estructura organizacional.

    Ponderación de criterios

    Criterios

    Ponderación

    Estructura única

    Área básica: Seguridad y Monitoreo

    Existencia:

    Requerido para organismos que administren sistemas con al menos 50 usuarios y 20 perfiles de usuario.

    Ponderación de criterios

    Criterios

    Ponderación

    Número de empleados

    15%

    Localidades

    10%

    Complejidad de aplicaciones desarrollo interno

    20%

    Estaciones de trabajo

    15%

    Número de servidores

    10%

    Centro de datos de contingencia

    10%

    Administra sistema de impacto externo

    20%

  • Políticas generales del departamento de TIC Abrir o Cerrar

    Una buena gestión del departamento de TIC incrementa la efectividad y productividad del departamento, y permite lograr los objetivos establecidos previamente, haciendo un mejor uso de la tecnología y la estructura organizacional. Para lograrlo, todo organismo gubernamental debe cumplir con las siguientes directrices:

    1. La máxima autoridad del departamento de TIC debe cumplir con las siguientes responsabilidades, apoyándose en todos los miembros pertenecientes al departamento:

      1. Evaluar y monitorear el cumplimiento de normas, políticas y leyes por parte de todos los miembros del departamento.

      2. Dirigir la preparación y la implementación de planes y políticas.

      3. Gestionar y administrar eficientemente las fuentes y activos de información del organismo, disponiendo de controles la calidad y seguridad de los sistemas. 

      4. Gestionar y administrar las licencias de software y realizar su distribución entre las unidades administrativas que las requieran.

      5. Administrar y coordinar todas las actividades relacionadas con la implementación de proyectos de TIC de impacto interno o externo del organismo.

      6. Administrar y gestionar los servicios del centro de datos, garantizando la tecnología que soporte las actividades de TIC del organismo, así como el aseguramiento de la redundancia y balanceo de los servicios, monitorear el óptimo estado de los sistemas y plataformas alojadas.

      7. Desarrollar y administrar aplicaciones de TIC que contribuyan al logro de las metas del organismo, asegurando la calidad de la plataforma y el cumplimiento de los estándares especificados en las NORTIC.

      8. Disponer de los servicios informáticos y de telecomunicaciones que soliciten las diferentes unidades administrativas del organismo.

      9. Fomentar la integración a diferentes redes de informaciones nacionales e internacionales mediante Internet, para permitir el acceso a distintas bases de datos en línea.

      10. Implantar y mantener actualizado un sistema de información integral que automatice las operaciones y procesos del organismo fomentando la comunicación interna, mediante el uso intensivo de las TIC.

      11. Implementar y mantener la infraestructura de TIC que permita al organismo alcanzar sus metas estratégicas y promover el Gobierno Electrónico, mediante el intercambio, acceso y uso de la información por los usuarios internos y externos. 

      12. Participar en la elaboración, ejecución y seguimiento, de acuerdos y protocolos de intercambios de información por medios electrónicos que realice el organismo con otras institucionespúblicas y privadas. 

      13. Proveer soporte técnico a los usuarios de las aplicaciones, así como a la información y la infraestructura del organismo. 

      14. Realizar la planificación estratégica y presupuestaria de las soluciones de TIC del organismo.

      15.  Revisar periódicamente el funcionamiento de la red, el desempeño de los sistemas en operación y el de las bases de datos del organismo para identificar desviaciones respecto a los objetivos y formular recomendaciones que optimicen los recursos y procesos operativos, propiciando el incremento de la productividad y la eficiencia.

    2. De acuerdo con la naturaleza de cada organismo gubernamental, debe crearse políticas de documentación para cada procedimiento, resolución de incidentes, software desarrollado internamente, y cualquier otra información relevante que manipule el departamento.

      1. La documentación debe realizarse de manera minuciosa, explicando todos los detalles de la información a documentar.

      2. En caso de prescindir de un recurso, debe utilizarse la documentación realizada previamente, de manera que se pueda continuar brindando los servicios que se ofrecen.

  • Servicios de TIC Abrir o Cerrar

    En esta sección se establece el procedimiento a seguir en la prestación de servicios y la gestión de incidentes. Así como las especificaciones para la estructuración del catálogo de servicio y la elaboración de los Acuerdos de Nivel de Servicio (SLA, por sus siglas en inglés).

    1. La disponibilidad de los servicios debe contemplarse en el plan de disponibilidad y continuidad de cada organismo, tal como se muestra en el punto sobre Plan de disponibilidad y continuidad.

    2. Cualquier tarea que implique una degradación o interrupción del servicio debe realizarse en las horas de inactividad o de menor demanda de este, siempre que sea posible.

    3. Si el servicio debe estar disponible las 24 horas del día y la interrupción es necesaria:

      1. Debe consultarse con el cliente acerca de las horas en la que la interrupción del servicio afectará menos a sus actividades.

      2. Debe informarse con antelación suficiente a todos los involucrados.

      3. Debe incorporarse dicha información a los SLA.

      4. Debe monitorizarse la disponibilidad del servicio y elaborarse informes con los resultados.

      5. Debe especificarse el tiempo de detección.

      6. Debe especificarse el tiempo de respuesta.

      7. Debe especificarse el tiempo de reparación/recuperación.

     

    Catálogo de servicios  

    1. Todo organismo debe elaborar un catálogo de servicios cumpliendo las siguientes directrices:

      1. Los servicios deben agruparse en líneas, categorías o familias principales de servicio. 

      2. El catálogo de servicio debe estar escrito en un lenguaje simple, evitando los tecnicismos siempre que sea posible. 

      3. Debe contener solo los servicios que estén activos e interesen al cliente, evitando incluir en el catálogo de servicios aquellos que no se ofrezcan o que se ofrecerán en un futuro. 

      4. Cada servicio incluido debe contener los siguientes datos:

        • Nombre y descripción del servicio.

        • Propietario del servicio.

        • Cliente.

        • Otras partes implicadas (proveedores, organismos, entre otros), cuando aplique.

        • Fechas de versión y revisión.

        • Niveles de servicios acordados en los SLA.

        • Condiciones de prestación del servicio: Requisitos para que se pueda brindar el servicio.

        • Precio (en caso que aplique).

        • Cambios y excepciones. Exclusiones para la prestación del servicio.

      5. El catálogo de servicio debe estar disponible para todos los miembros de la mesa de servicio y a quienes el organismo considere necesario.

      6. Debe elaborarse un plan para el mantenimiento y actualización del catálogo de servicio. Este programa debe incluir:

        1. Las planificaciones de actualizaciones para el catálogo: Preparar un plan que contenga el cómo, y cuándo se realizarán las actualizaciones.

        2. Planificación de revisiones periódicas: Cada qué tiempo se realizarán las revisiones al catálogo de servicios.

        3. Protocolos para aprobación de cambios: Quién y cómo se aprobarán los cambios realizados al catálogo.

        4. Políticas para la medición y monitoreo del catálogo de servicio: Con el objetivo de medir el rendimiento de este, la calidad en los servicios ofertados y la eficiencia de los procesos establecidos.

        5. La unidad de administración del servicio de TIC debe tener un personal que asuma la función de ejecución del plan para el mantenimiento y actualización del catálogo de servicio.

    Niveles de servicio

    1. Cada organismo gubernamental debe establecer los SLA necesarios con los clientes y proveedores para ofrecer los servicios requeridos. 

      1. Los niveles de servicios deben contener las siguientes informaciones mínimas: 

        1. Descripción del servicio: Donde se especifique de manera detallada todo los aspectos del servicio brindado. 

        2. Revisión y vigencia: Donde se estable el tiempo durante el cual es válido el SLA y el procedimiento de revisión establecido. 

        3. Objetivo del servicio: Finalidad que se desea alcanzar con el servicio brindado. 

        4. Políticas: Especificación de las políticas que regulan el servicio brindado. 

        5. Monitoreo del SLA: Especificación de cada qué tiempo se estará monitoreando el

          servicio.

        6. Contactos: Informaciones de contactos del cliente y del representante del
          departamento de TIC.

        7.  Quejas y reclamaciones: Informaciones de contactos en donde el cliente pueda comunicarse en caso de incumplimiento del SLA.

        8.  Reporte de incidentes: Informaciones de contactos en donde el usuario se comunique en caso de averías en el servicio.

        9. Tiempo de respuesta: Especificación del tiempo de respuesta según la prioridad del incidente.

        10. Debe enviarse al cliente un informe del monitoreo del servicio con
          la periodicidad establecida en el SLA.

    Gestión de incidentes 

    1. Toda incidencia debe registrarse inmediatamente sea recibida en la mesa de servicio o por cualquier otro medio establecido por el organismo para la recepción de estas.

    2. Para el registro de incidencias debe realizarse lo siguiente:

      1. Verificar si el servicio solicitado se incluye en el SLA del cliente.

      2. Registrar en la plataforma utilizada para estos fines. Como mínimo debe cumplir con los siguientes requisitos para cada registro de incidencia: 

        1. Asignar una categoría dependiendo el tipo del incidente o del grupo de trabajo involucrado. 

        2. Establecer la prioridad, la cual puede ser:

          • Crítica.

          • Alta.

          • Media.

          • Baja.

          gestion-incidentes-impacto-urgencia

          Diagrama de prioridades, según el impacto y la urgencia del incidente. Elaborado en base al establecido por la OSIATIS.

        3. Asignar el personal que trabajará en la resolución del incidente.

        4. Asociar un estado al incidente, el cual puede ser:

          • Registrado: Cuando el incidente se registra, sin embargo por razones propias del organismo no se inicia su resolución hasta que el área o unidad responsable lo determine.

          • Activo: Cuando la resolución del incidente se inicia inmediatamente se registra el mismo.

          • Suspendido: Cuando el estado del incidente estuvo activo y por razones propias del organismo, o el área responsable, la resolución se detuvo.

          • Resuelto: Cuando el incidente se ha solucionado y especificado el procedimiento llevado a cabo para su resolución, pero no se ha confirmado con el cliente.

          • Cerrado: Cuando se haya completado el proceso de resolución, incluyendo la confirmación con el cliente de la correcta resolución.

        5. Establecer un tiempo de respuesta de acuerdo a lo acordado en el SLA.

      3.  Luego del registro debe informarse al cliente como mínimo el número de caso, el tiempo de respuesta para que sea resuelto su caso, así como el soporte técnico asignado para dar resolución al incidente. 

      4. Debe existir un proceso de escalamiento para los incidentes que no puedan ser resueltos por el técnico asignado. En estos casos deberá seguirse el protocolo establecido por el organismo, como lo muestra la siguiente gráfica.

        Matriz de escalamiento para la gestión de incidentes

         

        Matriz de escalamiento para la gestión de incidentes.

      5. Cuando se haya resuelto el incidente debe:

        1. Confirmar y notificar con el cliente la correcta resolución del incidente. 

        2. Registrar el procedimiento que se llevó a cabo para la resolución del incidente.

        3. Cerrar la solicitud.

     

     

  • Inventario general de TIC Abrir o Cerrar

    Se establece el procedimiento para el levantamiento, actualización y control de inventario que todos los organismos deben seguir para la gestión de los activos físicos y de información que se encuentren bajo la responsabilidad del departamento de TIC.

    1. Todo organismo debe realizar un inventario ordenado, completo y actualizado de todos los activos que estén bajo la responsabilidad del departamento de TIC.

      1. El inventario general de TIC debe estar organizado en dos secciones principales:

      • Activos físicos: Donde se registrarán todos los equipos de la infraestructura TI, estaciones de trabajo, portátiles y demás.

      • Activos de información: Donde se registrará todo el software utilizado, sistemas operativos y demás.

      1. La unidad de operaciones de TIC debe tener un personal que asuma la función de llevar a cabo todo el proceso de inventario. Este tendrá a la responsabilidad de coordinar las tareas que deben desarrollarse:

        1. Levantamiento de inventario: Registrar todos los bienes que forman el equipamiento tecnológico bajo el control del departamento de TIC. Esta fase se realizará en caso de que el organismo no haya realizado un inventario anteriormente. 

        2. Actualizaciones de inventario: Agregar al inventario nuevos bienes adquiridos por el departamento de TIC, igualmente eliminar los bienes que han salido de la responsabilidad del organismo.

        3. Control de inventario: Revisar físicamente los bienes que se encuentran en el inventario.

    Levantamiento de inventario

    1. Para el levantamiento de inventario debe seguirse los siguientes pasos: 

      1. Definir los tipos de activos a ser considerados para el registro en el inventario.

      2. Identificar todas las dependencias del organismo con equipamiento tecnológico y demás activos considerados. 

      3. Planificar el horario, que no interfiera con la prestación de los servicios brindados, en caso contrario, elegir el horario que menos impacto cause. 

      4. Para los activos físicos debe registrarse los siguientes datos:

        • Código: Código generado para individualizar cada bien inventariado.

        • Artículo: Tipo de artículo a inventariar.

        • Marca/modelo: Marca y modelo del artículo.

        • Número de serie: Número de serie del activo a inventariar.

        • Estado: El bien a inventariar puede estar en uno de estos tres estados:Responsable: Nombre o cargo del encargado del bien.

          • Operativo: Funciona correctamente y está siendo utilizado o puede utilizarse.
          • No operativo: Requiere alguna reparación.
          • De baja: Bien que no puede ser utilizado.
        • Ubicación: Lugar en donde se encuentra ubicado el bien.

        • Fecha de baja: Fecha en que es dado de baja el bien (en caso de que aplique).

        • Observaciones: Comentarios relacionados con el estado del bien.

        • Cualquier otro dato que sea de relevancia para el organismo.

      5. En los activos de información debe registrarse los siguientes datos:

        • Código: Código generado para individualizar cada bien inventariado.

        • Nombre: Nombre del software a inventariar.

        • Versión: Versión del software (si aplica).

        • Tipo de software: Clasifica el software en aquellos que son de desarrollo interno y aquellos que son adquiridos.

        • Proveedor: Organización distribuidora del software (para software adquirido).

        • Tipo de licencia: Licencia bajo la cual fue desarrollado el software.

        • Número de licencia: En caso que el software utilice un número de licencia.

        • Número de instalaciones: Cantidad de veces que se ha instalado el software en el organismo.

        • Equipo: Donde se encuentra instalado/ubicado el activo de información.

        • Fecha de adquisición: Fecha en que se adquirió la licencia.

        • Caducidad de licencia: Fecha en que vence la licencia (cuando aplique).

        •  Observaciones: Comentarios relacionados con el software.

        • Cualquier otro dato que sea de relevancia para el organismo.

      6. En caso de que la información sea levantada en papel, esta debe digitalizarse.

        1. Para la digitalización de esta información debe utilizarse uno de los siguientes medios:

          • Planilla de cálculo.

          • Base de datos.

          • Sistema de inventario.

        2. Debe seguirse las instrucciones de digitalización especificadas en el punto sobre digitalización de documentos.

    Actualización de inventario

    1. Debe realizarse una actualización al inventario cada vez que ocurra uno o más de los siguientes eventos a los activos del organismo:

      • En caso de adquisición de un nuevo bien que esté bajo la responsabilidad del departamento de TIC.

      • Movimiento de ubicación.

      • Salida del organismo cuando sea para activos físicos.

      • Asignación a otro responsable.

      • En los casos de activos físicos, cuando este es dado de baja, mientras que para los casos de activos de información, cuando este se elimina o descontinúa su uso en el equipo.

      • Cuando se realice el control de inventario.

    Control de inventario

    1. El control del inventario debe planificarse, dentro de lo posible, en unhorario que no interfiera con la prestación de los servicios brindados, en caso contrario, elegir el horario que menos impacto cause.

    2. El control de inventario para los activos de información debe realizarse cada 12 meses.

    3. El control de inventario para los activos físicos debe realizarse cada 6 meses.

    4. El proceso de control debe realizarse a partir de la última versión del inventario.

    5. Debe verificarse la información registrada en el inventario con los bienes existentes.

    6. Al final de la revisión debe actualizarse el inventario con la información que aún no esté registrada obtenida en la verificación.