Política de Gestión de Activos de Software

[ORGANIZACION] deberá mantener un inventario detallado de todo el software licenciado y autorizado, actualizado con una frecuencia no menor a [PERSONALIZAR: semestral/trimestral].

El inventario de software deberá registrar, como mínimo: título del software, editor, versión, fecha de instalación, propósito empresarial, tipo y cantidad de licencias, mecanismo de implementación y propietario designado.

Se deberán implementar herramientas automatizadas de inventario de software para descubrir y documentar el software instalado en todos los activos empresariales donde sea técnicamente factible.

El inventario de software deberá incluir tanto las aplicaciones instaladas localmente como los servicios autorizados en la nube/SaaS.

Solo el software que haya sido revisado y autorizado por [PERSONALIZAR: Departamento de TI/Comité Asesor de Cambios] podrá instalarse en activos gestionados por [ORGANIZACION].

[ORGANIZACION] deberá mantener una lista de permitidos de software autorizado. El software que no esté en la lista de permitidos se considerará no autorizado a menos que exista una excepción documentada.

Se deberá implementar tecnología de lista de permitidos de aplicaciones en todos los activos [PERSONALIZAR: críticos/de alto riesgo] para prevenir la ejecución de software no autorizado.

Para entornos IG2/IG3: La lista de permitidos de aplicaciones automatizada deberá configurarse para bloquear bibliotecas de software, scripts e instaladores no autorizados, además de archivos ejecutables.

Solo el software actualmente con soporte (que reciba actualizaciones de seguridad del proveedor) estará autorizado para su uso en activos empresariales.

El software sin soporte que sea necesario para las operaciones empresariales requerirá una excepción documentada aprobada por [PERSONALIZAR: CISO/Director de TI] que incluya: justificación empresarial, controles compensatorios, aceptación de riesgo y fecha de revisión que no exceda [PERSONALIZAR: 6 meses/1 año].

El estado de soporte del software deberá revisarse al menos mensualmente para identificar software en fin de vida o fin de soporte.

Se deberá desarrollar un plan de migración al menos [PERSONALIZAR: 6/12] meses antes de que cualquier software crítico alcance el fin de soporte.

El software no autorizado descubierto en activos empresariales deberá eliminarse o recibir una excepción documentada dentro de [PERSONALIZAR: 5/10/30] días hábiles de su descubrimiento.

Las instalaciones repetidas de software no autorizado por el mismo usuario deberán escalarse a [PERSONALIZAR: gerencia/Recursos Humanos] para revisión disciplinaria.

Se deberán realizar revisiones mensuales para identificar software no autorizado en activos empresariales.