DECRETO No.

24

EL PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPBLICA,

CONSIDERANDO:

1.

El acelerado incremento y desarrollo de las Tecnologas de Informacin y Comunicacin (TIC), en las entidades gubernamentales yla
automatizacin de sus procesos con tendencia en la prestacin de servicios a los ciudadanos en forma remota.

n.

La aplicacin de las TIC ocasiona nuevas formas de "riesgos en tecnologa para las entidades", por lo cual se vuel ve imprescindible controlar
y fiscalizar de manera especializada la administracin de los recursos tecnolgicos.

1II.

Que las entidades pblicas en su mayora no han normalizado la administracin y riesgos en lo concerniente a planificacin y organizacin
de recursos, adquisicin e implementacin, entrega y soporte de servicios, monitoreo y evaluacin, seguridad de la informacin entre otros
aspectos de las tecnologas de informacin y comunicacin.

IV.

Que la Ley de la Corte de Cuentas de la Repblica, en su Art. 5, numeral 2), establece la atribucin de dictar las polticas. normas tcnicas
y dems disposiciones para la prctica del control interno en las entidades sujetas a la fiscalizacin.

POR TANTO:

En uso de las facultades conferidas por el artculo 195, numeral 6 de la Constitucin de la Repblica deEI Salvador y el articulo 5, numeral 2
y articulo 24 numeral l de la Ley de la Corte de Cuentas de la Repblica,

DECRETA el siguiente:

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGAS DE INFORMACIN Y COMUNICACIN

EN LAS ENTIDADES DEL SECTOR PBLICO

CAPTULO
DISPOSICIONES GENERALES

Art. 1.- El presente reglamento tiene por objeto establecer, normas, principios, lineamientos y estndares, aplicables a las tecnologas de informacin y comunicacin. para la optimizacin de recursos tecnolgicos, que utilicen los sujetos a que se refiere el artculo 3 de la Ley de la Corte de
Cuentas de la Repblica y estipular los mecClnismos que impulsarn su desarrollo y promocin en todo el mbito del Estado, y tomando en cuenta que
conforme surjan nuevas tecnologas se hace necesUlio implementar nuevos controles internos de segUlidad. integridad y confiabilidad de los sistemas
informticos que se utilizan en el desarrollo de sus actividades.

Definiciones
Art. 2.- A los efectos del presente Reglamento. se entender por:
1)

Amenaza: es un evento que puede desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en

2)

Automatizacin: La automatizacin es un sistema dondese trasfieren tareas realizadas habitualmente pr operadores humanos a un conjunto

sus activos.

de elementos tecnolgicos, que sirven para estandarizar los procesos de trabajo; desarrollar componentes reutilizables y configurables: y
automatizar actividades rutinarias con las tecnologas adecuadas.

3)

Caracterstica de la informacin: Debe cumplir con la normativa interna de la Informacin y Comunicacin. entre las cuales se mencionan
laveracidad. oportunidad, disponibilidad.confiabilidad, confidencialidad.

4)

Ciclo de vida del desarrollo de sistemas: Proceso que se sigue para construir. entregar y hacer evolucionar el sistema de informacin,
desde la concepcin de una idea hasta la entrega y retiro del sistema.

5)

COBIT: Objetivos de Control para Informacin y Tecnologas Relacionadas (COBIT, en ingls: Control Objectives for Information and
Related Technology). es una gua de mejores prcticas, dirigida al control y supervisin de tecnologa de la informacin (TI). Posee una
serie de recursos que pueden servir de modelo de referencia para la gestin de TI en la Organizacin.

6)

Contingencia: intelTUpcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias
para la operacin nOlmal de un negocio.

7)

Control de cambios: Conjunto de procedimientos para administrar las configuraciones de los sistemas de informacin, mantener la calidad
del software y la capacidad. Se basa en las solicitudes de cambios.

8)

9)

Datos redundantes: La redundancia hace referencia al almacenamiento de los mismos datos varias veces en diferentes lugares o en el
mismo sistema de informacin.
DMZ: Tiene que ver con la seguridad informtica, una zona desmilitarizada (conocida tambin como DMZ, sigla en ingls de demilitarized
zone) o red. pelimetral es una red local que se ubica entre la red interna de una organizacin y una red externa. generalmente en Internet.

10)

Estndares abiertos: Especificaciones tcnicas, publicadas y controladas por alguna organizacin que se encarga de su desarrollo, las
c.uales han sido aceptadas por la industria, estando a disposicin de cualquier usuario para ser implementadas en un software libre u otro.
promoviendo la competitividad, interoperatividad o flexibilidad.

11)

Estudio de factibilidad: Anlisis financieros, econmicos y operativos de una inversin (dada una opcin tecnolgica -estudio de prefactibilidad). En la fase de pre-inversillla eventual etapa subsiguiente es el diseo final del proyecto.

12)

Firma digital: Una firma digital es un mecanismo criptogrfico que permite al receptor de un mensaje firmado digitalmente determinar la
entidad originadora de dicho mensaje.

13)

Gobernabilidad de las TIC: Una estructura de relaciones y procesos para dirigir y controlar la Entidad a fin de lograr sus objetivos y
metas, agregando efectividad al mismo tiempo que se equilibra el desgo con el uso de TIC en sus procesos.

14)

Gobierno electrnico: Modelo de gestin pblica que se fundamenta en el uso intensivo de las tecnologas de informacin para proveer
medios giles, confiables y efectivos de informacin. comunicacin y participacin de los ciudadanos, para la prestacin segura y directa
de servicios. y que tiene como objetivo fundamental transformar al Estado como resultado de las mejoras de los procesos y el aumento de
la eficiencia y transparencia del Poder Pblico, generados por dichas tecnologas.

15)

Huellas de auditora en la base de datos: Elementos o lneas que permitan rastrear los caminos que siguen los datos a travs del programa
y que se utilizan para comprobar la ejecucin de las validaciones de datos previstos.

16)

Integridad de la informacin: La informacin slo puede ser modificada por quien est autorizado y de manera controlada.

17)

Integridad de la plataforma tecnolgica: Es la capacidad de la Plataforma de realizar la cOlTeccin y completitud de los datos en toda la
red.

18)

ITIL: Librera de lnfraestmctura de Tecnologa de Informacin(TI), es un conjunto de lineamientos sobre la administracin y procuracin
de servicios operativos de TI.

19)

Impacto: Consecuencia de la materializacin de una amenaza.

20)

ISO 27000: Estndar para la seguridad de la informacin.

21)

Modelo de madurez: El Modelo de Madurez, consiste en un mtodo que evala el grado de contTol sobre los procesos ele TI de una organizacin en una escala de O a 5. donde el menor (O) significa "No existe" y el mayor "Optimizado" (5).

22)

Pared de fuego en Informtica: Conocido como conafuegos (firewall en ingls). es una parte de un sistema o una red que est diseada
para bloquear el acceso no autoriz.ado, permitiendo al mismo tiempo comunicaciones autorizadas. Existen adems dispositi vos configurados
para permitir, limitar. cifrar, descifrar. el trfico de informacin sobre la base de un conjunto de normas y OlTOS criterios.

23)

Plataforma tecnolgica: Son los elementos de Hardware y software como servidores. estaciones de u'abajo PCs. redes con que cuenta
una Entidad.

24)

Plan de Contingencia: Conjunto de pasos o procedimientos necesarios para recuperar y estabilizar las operaciones infonnticas en la
Entidad, en caso de producirse una eventualidad que afecte la operacin normal de los sistemas de informacin. Dicho plan contiene las
medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compaa.

25)

Propiedad Intelectual: Es toda creacin del intelecto humano. Los derechos de propiedadintelectal protegen l6S'intereses de los creadores
al ofrecerles prelTogativasen relacin con sus creaciones.

.26)

Riesgo: Evento fortuito e incierto resultante de las acciones humanas. sistemas de inforrhacirio por la a2cin deunacausaexter~~ que
puede intervenir en el cumplimiento de la misin, visin, objetivos y metas que han sido definidos por la Entidad, causando perjuicios
directos e indirects.
Se mide por medio de una combinacin del impacto y la probabilidad de ocurrencia.

27)

Seguridad de la informacin: Es el conjunto de medidas preventivas y reactivas de las instituciones y de los sistemas tecnolgicos que
permiten resguardar y proteger la informacin buscando mantener la confidencialidad. la disponibilidad e integri,dad de la misma.

28)

Talento Humano: Capacidad de la persona que integra nabilidades, destrezas. experiencias y aptitudes propias.

29)

TIC: Conjunto de recursos. procedimientos y tcnicas usadas en el procesamiento, almacenamiento y transmisin de informacin.
Las TIC (Tecnologas de la Informacin y Comunicacin) son aquellas tecnologas que se necesitan para la gestin y transformacin de
la informacin. y muy en particular el uso de ordenadores y programas que pelmiten crear, modificar. almacenar, administrar. proteger y
recuperar esa informacin.

30)

Ubicuidad en TIC: Significa estar en todas partes al mismo tiempo.

La tecnologa nos permite estar en diferentes lugares al mismo tiempo. la profunda conexin entre lo real y lo virtual, la, disponibilidad de
la informaci6n a cualquier hora, desde cualquier lugar y con una variedad de dispositivos tecnolgicos, que modifican la fClma de acceder
a la informacin y al conocimiento.
31)

VPN: Es una red virtual que se crea dentro de otra red real. como puede ser Internet.

32)

Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un Acti vo.

CAPTULOlI
ORGANIZACIN DE TIC

An. 3.- Cada entidad del sector publico debe establecer una Unidad de Tecnologas de Informacin y Comunicacin, ubicada a un nivel jerrquico
que le pemta ejercer la gobemabilidad e independencia funcional dentro de la entidad, conforme a su nivel de madurez tecnolgico y de acuerdo a
su tamao, alcance y mbito de gestin. La escala de madurez se clasifica. segun las siguientes categoras:

O No existe: Los procesos gerenciales no son aplicados: No existen procesos reconocidos. La organizaci6nno ha reconocido que existe un problema que debe ser resuelto.

Inicial: Los procesos no estn planificados y se encuentran desorganizados: No existen procesos estandarizados aunque s procedimientos
que suelen ser aplicados de forma individual o conforme las necesidades que se presentan en un momento determinado.

Repetitivo: Los procesos siguen un patrn regular: Los procesos se han desaJTollado a un determinado nivel y procedimientos similares
son seguidos por diferentes personas que realizan la misma tarea dentro de la empresa. No hay entrenamiento o comunicacin formal de
estos procedimientos. Las responsabilidades estn en manos d.el individuo.

Definido: Los procesos estn documentados y comunicados: Los procedimienros han sido estandmizados. documentados y omunicados por
medio de entrenamiento. Sin embargo, est pendiente el cumplimiento de dichos procesos por cada individuo. con lo cuales poco probable
que las desviaciones sean detectadas. Los procedimientos por si solos no son sofisticados pero son la fonnalizaein de mejores prcticas.

Gereneiado: Los procesos son monitoreados y medidos: Es posible la medicin y monitorizacin conforme a los procedimientos y realizar
acciones donde existan procesos que no parezcan estar funcionando con efectividad. Los procesos estn bajo constantes mejoras y se proveen
de buenas prcticas. Las henamientas de automatizacin son empleadas de manera limitada o fragmentada.

Optimizado: Basados en mejores prcticas y estn automatizadas. Los procesos han sido refinados a nivel de mejores prcticas, basados
en resultados de mejoras continuas y modelosde madurez respecto detras organizaciones. Las TI so~ usadas para automatizar de manera
integral el flujo de trabajo, suministrando hen'amientas p~ra mejorar la efectividad y la cillidad, haciendo que la organizacin se adapte de
manera rpida a los cambios del entorno.

An. 4.-L.a entidad. debe de definir y mantener actualizado el Manual de Organizacin y Funciones de la Unidad de TIC y de Puestos para el
personal. de manera que las funciones y responsabilidades quedenc1aramente establecidas.

Art. 5.-

L~

Unidad deTICdeber proponer a la mxima autoridad la adopcin de mejores prcticas (estndares abiel10s) y controles para la

gestin de las TIC. que se requiera para el logro de los objetivos.

Art. 6.- La Unidad de TIC debe realizar un proceso de planificacin de llC de acuerdo con la planeacin estratgica institucional. que facilite
la consecucin de sus logros futuros.

Art. 7.- El Plan EstratgiCo de TIC debe:

a)
b)

Contener los objetivos e iniciativas estratgicas del rea de TIC. que deben estar acordes a los objetivos estratgicos institucionales;
Definir cmo los objetivos estratgicos de TIC sern alcanzados y medidos. establecer los indicadores de desempeo de conformidad con
los objetivos estratgicos de TIC;

c)

Contemplar el presupuesto operacional y de inversiones. las estrategias de suministro y de adquisicin (contratacin de servicios yadquisicin de equipos) y los requisitos legales;

d)

Ser formalmente aprobado y divulgado para que sea ejecutado por las partes interesadas.

Art. 8.- La Unidad de TIC debe de elaborar los planes anuales operativos diseados de tal manera que defina los objetivos a cumplir y alineado
con los objeti vos estratgicos y/o operativos institucionales. actividades a desanoJlar. programacin, indicadores de gestin y su seguimiento, recursos
de TIC, responsables y fechas de ejecucin.

Al1. 9.- La gestin de las Tecnologas de Informacin y Comunicacin, es responsabilidad de la mxima autoridad y de la Unidad de TIC, la cual
debe contar con los recursos que garanticen el cumplimiento de los objetivos institucionales.

Art. 10.- La Unidad de TIC, elaborar y ejecutar el presupuesto asignado para la gestin de las tecnologas de informacin y comunicacin
institucional y los proyectostecnoJgicos viables a desanollar. conforme a su ni vel de madurez tecnolgico de acuerdo a su tamao. alcance y mbito
de gestin, los objetivos estratgicos y operativos de la institucin y acorde con el plan de compras institucional.

CAPTULO III
GESTIN DE RIESGOS DE TECNOLOGAS DE INFORMACIN Y COMUNICACIN

Ar1. 11.- La Unidad de TIC, deber adoptar una metodologa de gestin de riesgos, debiendo documentar el proceso de identificacin. anlisis.
administracin y eval uacin de liesgos de TIC.

A11. 12.- La Unidad de TIC. se asegurar que los controles intemos diseados mitiguen en gran medida los riesgos residuales obtenidos en el
anlisis de riesgos, siendo factible y con menor inversin la administracin de stos.

CAPTULO IV
PROYECTOS DE TECNOLOGAS DE INFORMACION y COMUNICACIONES

Art. 13.- La Unidad de TIC, efectuar diagnstico de las necesidades y requerimientos tecnolgicos de las dependencias de la Entidad y deber
proyectar las mejoras de las tecnologas de informacin y comunicaciones, considerando los costos de transicin. viabilidad. capacidad tcnica. instalaciones, riesgos tecnolgicos. vida til y tasas de crecimiento de la infraestructura tecnolgica.

An. 14.- La Entidad deber contar con una comisin responsable de la ejecucin de los proyectos de TIC. desde la fase de inicio hasta la puesta
en marcha del proyecto. definiendo responsabilidades de cada miembro de la comisin..

CAPTULO V
SISTEMAS DE INFORMACIN

An. 15.- La Unidad de TIC implementar la metodologa para el ciclo de vida del desarrollo de sistemas, asegurando que los sistemas de informacin sean eficaces. seguros. ntegros, eficientes y econmicos, que impidan la modificacin no autorizada; asimismo, se ajuste al cumplimiento de
las leyes. reglamentos y normativa vigente que les sean aplicables y considerar adems lo siguiente:
a)

Se deber priOl;zar y fomentar el desalTollo de Jos sistemas de informacin con recursos internos de la entidad.

b)

Definir una adecuada separacin de las funciones en los ambientes de desalTollo y produccin.

c)

Procedimientos de actualizacin en los manuales de usualio y tcnico. para el uso de los sistema en produccin y que se encuentra documentado el Control de cambios (versiones del Sistema) y los requerimientos se encuentren autorizados, realizados en el Sistema dentro del
mismo.

Art. 16.- La Unidad de TIC debe contar con polticas y procedimientos para el procesamiento de la informacin. desde su origen, relacionados
con la captura, actualizacin. procesamiento. almacenamiento y salida de los datos, que asegure que la informacin sea completa, precisa. confiable
y vlida para la toma de decisiones.

Controles de cambio
Art. 17.- La Unidad de TIC. deber identificar los cambios en las soluciones automatizadas, conforme a un anlisis tcnico, econmico y operativo.
con las diferentes alternativas de solucin, analizando el impacto de la implementacin de cambios, planificando las pruebas para reducir incidentes,
cadas de red. e.implementando y documentando los cambios exitosos y en tiempo disponible.

Tercerizaci6n de servicios de TIC

Art. 18.- Al contratar servicios tecnolgicos con terceros, la Unidad de Tecnologas de Informacin y Comunicacin deber justificar la terce;zacin del servicio de software, siendo responsables de administrar los aspectos tcnicos en la adquisicin de los bienes y/o servicios de tecnologa
de informacin y comunicacin.

Debe efectuarse una efectiva administracin del riesgo. considerando acuerdos de confidencialidad. contratos de garanta, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos, entre otros.

Alt. 19.- La Unidad de TIC deber implementar y gestionar la aprobacin de una metodologa estndar de desalTollo y adquisicin de software.
realizado con terceros. Documentando en un expediente o portafolio el ciclo de vida de desaITollo de sistemas de los proyectos tecnolgicos.

Art. 20.- La Unidad de TIC deber contar con registros para el control de la vigencia de las garantas de fbrica que cubran desperfectos y aseguren el funcionamiento de los equipos de tecnologa de informacin y comunicacin. para lo cual crear procedimientos en conjunto con la Unidad
de Adquisiciones y Contrataciones Institucional.

An. 21.- La Unidad de TIC, deber emitir procedimientos de control paramonitorear los servicios de enlaces brindados por terceros, asegurndose
que se cumpla con la recepcin del servicio, la confidencialidad e integridad de la informacin a la cual tengan acceso. y operacin de la infraestructura
tecnolgica.

Convenios y donaciones relacionados con TIC

Art.22.- La mxima autoIidad conforme a sus necesidades podr realizar convenios entre instituciones u organismos para apoyarse con recursos
de tecnologa de informacin y comunicaciones y para compartir informacin de las bases de datos, definiendo el objetivo de la informacin o registros
a companir y las polticas de seguridad para el acceso y confidencialidad de la informacin.

23.- La mxima autoridad y la Jefatura de la Unidad de TIC, definirn los procedimientos de los recursos tecnolgicos a companir con
Entidades y Organismos Gubernamentales, definiendo los productos entregables, estndares. de desarrollo de lossistemasautili~y la propiedad
intelectual del software.

Art. 24.- Las entidades debern documentar la recepcin de donaciones de hardware, software y aplicativos. evaluando previamente los aspectos
tcnicos, como los cdigos fuentes del software, manuales tcnicos y de usuarios, mantenimientos y mejoras que podr tener el software, aspectos
operativos (funcionamiento del software) y legales (propiedad intelectual).

Art. 25.- Los software procedentes de donaciones. debern ser documentados en lo siguiente: AnIlsis de la adaptabHidad del sistema a los
procesos que se automatizarn, necesidades de informacin de los usuarios, la funcionalidad de los procesos que sern automatizados con el nuevo
software, la capacitacin al personal tcnico de la Unidad de TIC para la administracin; mantenimientos y mejoras al sistema si ste lo permite y de
los usuarios que operarn el sistema de informacin.

CAPTULO VI
SEGURIDAD DE LA INFORMACIN

Art. 26.- La mxima autoridad, gerencias y dems jefaturas. debern asegurar. la correcta administracin de la segun.dad de la infomiacin. estableciendo y manteniendo controles que permitan que la informacin cumpla con las caractersticas de confidencialidad. integridad, disponibilidad,
confiabilidad y cumplimiento legal.

Art.. 27.- La Unidad de TIC administrar adecuadamente la 'seguridad fsica y lgica de sus recursos; estableciendo polticas y procedimientos
que pelmitan identificar. autenticar y autorizar el acceso a los sistemas de informacin. sistemas operativos y bases de datos y dar seguimiento a las
transacciones que se ejecutan en los sistemas de informacin, bases de datos y sistemas operativos. as como el resguardo de servidores, switch y
otros dispositivos.

Art. 28.- La Unidad de TIC debe de establecer polticas y procedimientos de prevencin. deteccin y correccin de virus; la utilizacin del con'eo
electrnico; restringir el trfico de informacin hacia dentro y fuera de la red institucional (pared de fuego) en todos aquellos puntos con acceso a redes
pblicas de datos oVPN.

Seguridad de las bases de datos

Art. 29.- La Unidad de

nc, deber garantizar la seguridad lgica a las bases de datos institucionales que resguardan informacin. evitando en

la medida de lo posible la generacin de datos redundantes o repetitivos. El usuario del sistema. de informacin es el responsable del contenido de la
informacin almacenada en las bases de datos.

An. 30.. - La Unidad de TIC deber implementar y desarrollar polticas de control y designacin de roles y responsabilidades de la administracin
de la base de datos y usuarios de los sistemas de informacin. De igual forma deber documentar. los procedimientos de solicitud. creacin. mantenimiento, eliminacin del usuaJio y cambios de claves.

Art. 31.- La Unidad de TIC deber garantizar que las bases ele datos Contengan huellas de auditora, que registren los eventos de las fechas y
actividades que realizan los usualios, tales como: adicin, eliminacin, modificacin de datos entre otros, con el fin de garantiz.ar la identificacin de
los accesos a la infOlmacin.

A11. 32.- La Unidad de TIC deber garantizar la separacin de funciones entre los administradores de base de datos. los desalTolJadores de sistemas
y los que procesan los datos en los sistemas de informacin automatizados.

Art. 33.~LaUnidad de TIC deber realizar planes de respaldo y resguardo en sitio remoto y procedimientos para la recuperacin de datos, que
permitan asegurar la informacin de acuerdo a su importancia y criticidad.

..

~.'
... '.".'.'.".'.''''7:''
~
Seguridad de la infraestructura tecnolgica
Art. 34.- La Unidad de TIC definir polticas y procedimientos de seguridad que garantice la confiabilidad. integridad y compatibilidad de la
plataforma tecnolgica y que contemple el suministro de energa elctrica para la continuidad delnegocicien caso de fllas temporales en la red
elctrica.

Art. 35.- La Unidad de Tecnologas de Informacin y Comunicacin, deber implementar medidas de seguridad fsica y lgica para las redes
institucionales. esquemas de red con DMZ, consolas de antivirus~ mantenindolos actualizados en la red. Para el caso de los equipos informticos sin
acceso a la red, se debern 'de crear polticas para su actualizacin.

Art. 36.- La Unidad de TIC debe de elaborar y ejecutar un plan de Mantenimiento de Equipo Informticodebidainente diseado, que contenga
objetivos, polticas, prioridades, programacin de actividades en el que se identifique a los responsables de ejecutarlas y ladetermil1acin de los costos
estimados; adems. la identificacin de metas programadas formuladas de manera precisa. factible, viable y medible, para que se pueda ejercer un
seguimiento, evaluacin de objetivos y su ciJmplimiento. Este plan deber ser comunicado a los niveles responsables de su ejecucin.

Art. 37.- La Unidad de TIC deber de contar con la documentacin de soporte de las operaciones que realicen (fsicas o electrnicas), para
justificar e identificar la naturaleza. finalidad y resultado de la actividad realizada. La documentacin debe estar debidamente custodiada y contar con
procedimientos para su actualizacin oportuna.

Art. 38.- La mxima autoridad y la Unidad de TIC. debern emitir pOlfticas que fomenten el flujo oportuno de informacin interna por medio
del uso del correo electrnico institucional como medio oficial de comunicacin, digitalizacin de documentos. utilizacin del sitio web institucional,
intranet e intemer. Debern definir por escrito los controles generales de los recursos de tecnologa de informacin, para asegurar la eficiencia, efectividad. confiabilidad y segUJidadde la informacin.

Continuidad de las operaciones

Art. 39.- La Unidad de TIC, deber contar con un plan de contingencia autorizado por la mxima autoridad de la entidad, este plan debe ser viable.
que detalle las acciones, procedimientos y recursos financjeros. humanos y tecnolgicos, considerando los riesgos y amenazas de TIC que afecten de
forma parcial o rotal la operatividad nOlmal de los servicios de la Entidad, categorizando el ~ipo de accin a realizaren cuanto a la medicin en.tiempo
para el restablecimiento de las operaciones tecnolgicas. este plan debe probarse y actualizarse atendiendo la realidad tecnolgica de la entidad al
menos una vez al ao. Deber ser comunicado a los ni veles pertinentes.

Art. 40.- El rea de TIC debe establecer y mantener actualizadas polticas y procedimientos para el respaldo y recuperacin de la informacin,
que le permitan tener acceso a la misma durante periodos de contingencias, causados por desperfectos en los equipos, prdida de informacin u otras
situaciones similares.

AJ1. 41.- La Unidad de TIC debe realizar un diagnstico o estudio para determinar la necesidad de contar con cobertura de seguros para los principales equipos de cmputo y comunicaciones, que le pelmitan mitigar el riesgo provocado ante cualquier tipo de contingencia y desastre natuml.

CAPTULO VII
ENTREGA Y SOPORTE DE SERVICIOS

Art. 42.- La Unidad de TIC deber identificar y registrar los incidentes y problemas de TIC,categorizar, diagnosticar~resolver..controlar errores.
evaluar problemas graves y reportar los informes que contienen los problemas resueltos y pendientes, el estatus de su procesamiento y las soluciones.

AJ1. 43.- La Unidad de TIC deber emitir pr09edimientos de control para gestionar la configuracin. cambios y liberacin de versiones de software
mediante la definicin de planes y polticas.

Art. 44.- La Unidad de TIC deber desarrollar procedimientos de control para la instalacin y desinstalacin de software y dispositivos de informacin y comunicacin, los que debern ser reinstalados para su funcionamiento y efectividad en el uso.

Licenciamiento de software
Art. 45.- Todo el software instalado ep la entidad, deber estar amparado con la respectiva licencia extendida por el fabricante, otorgando a la
entidad el derecho de instalacin y uso de los mismos. de conformidad a lo establecido por la ley.

Art. 46.- La Unidad de Activo Fijo deber de elaborar y actualizar un inventaJio de Software y aplicaciones. La Unidad de TIC deber controlar
el software instalado en cada uno de los equipos informticos institucionales.

Art. 47.- La Unidad de TIC es la responsable de la instalacin de software libre. debiendo justificar los usumios las necesidades de su uso.

El software libre instalado debe cumplir con los aspectos tcnicos informticos.
Art. 48.- La Unidad de Tecnologas de Informacin y Comunicacin deber mantener registros actualizados con las caractersticas tcnicas de
la infraestructura tecnolgica. licencias de software, aplicati vos. manejadores de base de datos y la documentacitSn de los controles de cambios de los
sistemas de informacin. Estos registros debern conciliarse con los controles de inventarios de activo fijo y con los registros contables.

Gobierno electrnico
Art. 49.- Las entidades que han adoptado un modelo de gestin de gobierno electrnico para el manejo de contratos. transacciones econmicas,
compras, pagos, entre otros aspectos que se realizan on-line, debern emitir procedimientos para el manejo de firma digital, estableciendo por escrito
los procesos, funcion31ios responsables, medidas de seguridad ante los riesgos identificados. alcance, confidencialidad en la comunicacin, entre otros
aspectos.

CAPTULO VIII
DISPOSICIONES FINALES

An. 50.- Con el propsito de mantener actualizado el presente Reglamento, ste deber ser revisado por una Comisin nombrada por el Presidente
de esta Corte, cuando lo estime conveniente.

Al1. 51.- El presente Reglamento cntrar en vigencia a partir del da de su publicacin en el Diario Oficial.

Dado en San Salvador, a los veinticuatro das del mes de junio del dos mil catorce.

LIC. ROSALO TCHEZ ZAVALETA,

PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPBLICA.

(Registro No.fOI4106)