Guía de Auditoria del Marco de Ciberseguridad 5.0

Continuidad de las operaciones 

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección. 

Requisito CO.1 - Contar con componentes redundantes que contribuyan al normal funcionamiento del centro de procesamiento de datos.  

  1. Planos eléctricos del centro de procesamiento de datos, registros de instalación, fotografías de los equipos, fichas técnicas de UPS instaladas o reportes de mantenimiento que permitan verificar la existencia de redundancia en la alimentación eléctrica.  

  1. Diagramas de infraestructura, contratos de instalación, reportes técnicos o documentación de proveedores que evidencien que el centro de procesamiento de datos cuenta con unidades redundantes de acondicionamiento térmico.  

  1. Ficha técnica del generador, cálculos de carga crítica respaldada, informes de pruebas de carga total o contratos de mantenimiento que permitan constatar que el generador puede abastecer todos los componentes críticos del centro de procesamiento de datos.  

  1. Planos eléctricos, listas de cargas conectadas, diagramas o actas de verificación técnica que evidencien que los sistemas de climatización están conectados a líneas respaldadas por el generador eléctrico.  

  1. Configuraciones del sistema de climatización, fichas de programación, capturas de consola de gestión o informes técnicos que permitan verificar la operación continua y los mecanismos automáticos de conmutación ante fallas. 

  1. Registros de pruebas, cronogramas de mantenimiento, listas de verificación o informes de resultados que evidencien que se testean periódicamente los mecanismos automáticos de failover en el sistema de climatización. 

  1. Actas de pruebas, bitácoras de mantenimiento, resultados de test de corte de energía o registros de alarmas que permitan verificar la operatividad del generador y de los sistemas UPS frente a condiciones reales. 

  1. Informes de revisión de diseño, análisis de impacto por crecimiento de carga o recomendaciones emitidas tras cambios tecnológicos que evidencien que se evalúa periódicamente la adecuación del diseño de redundancia. 

 

 

 

Requisito CO.2 - Los sistemas críticos de la infraestructura de telecomunicaciones, como el cableado, routers y switches (LAN, SAN, etc.), deben contar con redundancia.  

  1. Diagramas de red, fotografías de la sala de comunicaciones, fichas técnicas de enlaces redundantes, actas de instalación o contratos con proveedores que permitan constatar que el centro de procesamiento de datos cuenta con infraestructura redundante a nivel de comunicaciones.  

  1. Facturas de servicios de conectividad, contratos activos con diferentes ISPs, informes de disponibilidad o configuraciones de balanceo de carga que evidencien la existencia de múltiples enlaces o proveedores de internet. 

  1. Capturas de consola de equipos de red, configuraciones de protocolos como VRRP, HSRP, entre otros, reportes de eventos o documentación de monitoreo que permitan verificar la detección automática de fallas en equipos críticos. 

  1. Diagramas de red actualizados, topologías con esquemas de redundancia, control de versiones de documentación o repositorios internos que permitan constatar que la arquitectura del centro de procesamiento de datos está correctamente documentada. 

  1. Cronogramas de pruebas, registros de resultados, tickets de verificación o bitácoras técnicas que evidencien la realización periódica de pruebas de failover de enlaces y equipos de red. 

  1. Informes técnicos de evaluación, actas de revisión de infraestructura, recomendaciones emitidas o matrices de puntos únicos de falla identificados que permitan verificar que se revisa el diseño de red con fines de mejora. 

  1. Informes de análisis de incidentes, registros de fallos, actas de reuniones técnicas, acciones correctivas implementadas o versiones modificadas de la arquitectura que evidencien que se evalúan eventos reales para ajustar la estrategia de redundancia y disponibilidad. 

 

 

 

Requisito CO.4 - Planificar la continuidad de las operaciones y recuperación ante desastres.  

  1. Procedimientos operativos, planes de continuidad específicos, configuraciones de sistemas de alta disponibilidad o listas de acciones de contingencia que evidencien la existencia de medidas definidas para sistemas que soportan servicios críticos.   

  1. Listados de amenazas, mapas de riesgos, informes de análisis de continuidad o talleres de identificación de escenarios que permitan verificar que se ha realizado un relevamiento de amenazas que pueden afectar la operación.   

  1. Plan de backup, registros de ejecución de copias de seguridad, políticas de retención, reportes de verificación o capturas de consolas que evidencien la existencia de respaldos actualizados de sistemas críticos. 

  1. Planes de contingencia y recuperación vigentes, aprobaciones por parte de la alta dirección, control de versiones o publicación oficial interna que evidencien que están formalizados y validados los planes de contingencia y recuperación. 

  1. Matrices de criticidad o impacto, diagramas de dependencias, planillas de análisis de prioridades de recuperación, secciones del Plan de continuidad o Recuperación ante desastres (DRP/BCP) donde conste el orden definido para la recuperación, actas de aprobación del RSI o del CSI, o documentación utilizada para priorizar los servicios en simulacros o eventos reales. 

  1. Informe de Análisis de Impacto al Negocio (BIA) aprobado, matrices de procesos críticos, criterios de priorización o actas de validación que permitan constatar que se ha realizado un BIA con foco en continuidad. 

  1. Registros de pruebas específicas, cronogramas ejecutados, reportes de resultados o tickets internos que evidencien que se testean componentes parciales de los planes de forma controlada. 

  1. Acta de designación, estructura organizativa, roles y responsabilidades documentadas o referencias explícitas en los planes que permitan verificar quién es responsable de su mantenimiento y actualización. 

  1. Cronograma de pruebas, evidencias de simulacros integrales, informes de resultados o validaciones formales que permitan constatar que se prueba periódicamente la eficacia de los planes. 

  1. Actas de coordinación con proveedores, cláusulas contractuales sobre participación en pruebas, reportes de ejecución conjunta o registros de convocatorias que evidencien el involucramiento de terceros críticos según lo acordado. 

  1. Reportes de prueba, formularios de evaluación, tickets de seguimiento o bases de datos internas que permitan verificar que los resultados de las pruebas son documentados. 

  1. Registros de revisión posteriores a la prueba, planes de mejora, ajustes en los planes, lecciones aprendidas documentadas o versionado de documentos que demuestren que los resultados retroalimentan los planes y procedimientos.   

 

 

 

Requisito CO.5 - Definir las ventanas de tiempo soportadas para la continuidad de las operaciones.  

  1. Acta de designación, roles definidos en el BIA, estructura organizativa, correos internos o referencias en procedimientos que evidencien quién o qué equipo está encargado de definir las métricas de recuperación para procesos críticos. 

  1. Tablas de BIA, anexos técnicos, fichas de procesos, criterios de continuidad documentados o reportes aprobados que permitan verificar que se ha establecido la máxima duración tolerable de interrupción (MTD) para cada sistema crítico. 

  1. Planillas técnicas, reportes del área de continuidad, matrices de recuperación o documentos de diseño que evidencien que se ha definido el tiempo objetivo de recuperación (RTO) de cada sistema. 

  1. Matrices de pérdida de datos tolerada, configuraciones de respaldo, informes de riesgos o procedimientos técnicos que permitan verificar que se ha definido el punto máximo de pérdida de datos aceptable (RPO) para cada sistema. 

  1. Análisis comparativos, informes de brechas, evaluaciones técnicas o planes de adecuación que evidencien que se comparan las métricas definidas con los niveles realmente alcanzables en la actualidad. 

  1. Registros de inclusión de RTO/RPO/MTD en planes de continuidad, criterios de validación utilizados en pruebas, actas de revisión técnica o plantillas de evaluación que demuestren que las métricas son insumo obligatorio en la planificación y ejecución de los planes de continuidad. 

  1. Actas de revisión, versiones de documentos técnicos, registros de cambios o tickets internos que evidencien que las métricas son revisadas cuando cambian procesos o tecnologías asociadas. 

  1. Informes de pruebas, gráficos de cumplimiento de objetivos, desviaciones detectadas y sus respectivas acciones correctivas que permitan verificar el contraste entre lo definido y lo logrado en los ejercicios de continuidad. 

  1. Informes de evaluación de inversiones, presentaciones a la dirección, matrices de priorización o comparativas técnicas-económicas que evidencien que se usan las métricas como insumo clave para tomar decisiones sobre infraestructura, automatización o redundancia. 

 

 

 

Requisito CO.6 - Definir los mecanismos de comunicación e interlocutores válidos.  

  1. Política de comunicación, actas de designación, manual de gestión de crisis o correos institucionales que evidencien que las comunicaciones externas en situaciones críticas están restringidas a la Dirección o a su delegado. 

  1. Protocolos de autorización, registros de excepciones aprobadas, procedimientos que establecen restricciones o declaraciones de responsabilidad firmadas que permitan verificar que las áreas técnicas requieren aprobación explícita para comunicarse externamente. 

  1. Comunicaciones institucionales, publicaciones en intranet, manuales operativos o afiches internos que permitan constatar que se ha difundido quién es el vocero y por qué canales debe ser contactado. 

  1. Documento formal aprobado que contemple lineamientos estratégicos de comunicación ante crisis, incluyendo principios, objetivos, roles, audiencias, evaluación de eventos, nivel de comunicación, mensajes, medios, responsables y monitoreo, evidenciado mediante versiones controladas, anexos operativos o diagramas de flujo. 

  1. Registros de capacitación, listas de distribución, evidencias de lectura o actas de talleres que permitan verificar que todos los actores involucrados fueron informados sobre el contenido del plan y el procedimiento. 

  1. Cronogramas de ejercicios, reportes de simulacro, registros de participación o evidencia de ejecución coordinada con simulacros de continuidad o recuperación que permitan constatar que se prueba la respuesta comunicacional ante crisis. 

  1. Informes de auditoría, listas de chequeo, hallazgos documentados o planes de mejora derivados que evidencien que se evalúa formalmente el cumplimiento del plan y procedimiento de comunicaciones. 

  1. Informes posteriores al ejercicio, actas de revisión, acciones de mejora implementadas o versiones actualizadas de los documentos que permitan verificar que los resultados de revisiones y ensayos son utilizados para mejorar el plan. 

  1. Actas de aprobación, correos con observaciones de Dirección, minutas de revisión conjunta o registros de decisiones estratégicas que evidencien que la Dirección interviene en las actualizaciones del plan, especialmente en los mensajes y su forma de difusión. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay