Guía de Implementación del Marco de Ciberseguridad 5.0

CO.2 Los sistemas críticos de la infraestructura de telecomunicaciones deben contar con redundancia

Requisito CO.2Los sistemas críticos de la infraestructura de telecomunicaciones, como el cableado, routers y switches (LAN, SAN, etc.), deben contar con redundancia
ObjetivoAsegurar que la infraestructura de redes del centro de procesamiento de datos no tenga puntos únicos de falla, es decir, que la operativa del centro de procesamiento de datos pueda continuar aun ante la caída de un activo de red.
Controles

Nivel 1

  • CO.2-1: el centro de procesamiento de datos cuenta con componentes redundantes en lo que refiere a infraestructura de comunicaciones.

Nivel 2

  • CO.2-2: la organización dispone de conectividad a internet a través de múltiples enlaces o proveedores.
  • CO.2-3: los equipos de red críticos del centro de procesamiento de datos están configurados con mecanismos de detección automática de fallos.

Nivel 3

  • CO.2-4: la arquitectura de red del centro de procesamiento de datos, incluyendo su esquema de redundancia, está documentada y actualizada.
  • CO.2-5: se realizan pruebas periódicas de conmutación automática de enlaces o equipos de red redundantes, y se registran sus resultados.

Nivel 4

  • CO.2-6: la organización realiza revisiones técnicas periódicas del diseño de la red para identificar nuevos puntos únicos de falla y definir mejoras.
  • CO.2-7: se analizan eventos o fallos reales en la infraestructura de red para ajustar la estrategia de redundancia y disponibilidad.
Guía de implementación

Se deben implementar mecanismos que aseguren el adecuado funcionamiento de la red ante un posible fallo de equipamiento crítico de telecomunicaciones. Esto puede resolverse mediante redundancia, protocolos, etc.

Este requisito ayuda a evitar los puntos únicos de falla en la red o componentes de red, es decir, que la falla de un dispositivo afecte a una gran parte de la red (incluidos los servicios críticos). Hay varias formas de implementar redundancia. Se recomienda el uso de soluciones automáticas que no requiera acciones manuales por parte de un operador para lograr la recuperación del servicio.

El objetivo es que, en caso de falla, las aplicaciones críticas del negocio puedan continuar funcionando y que estén documentados todos los procedimientos necesarios para continuar operando.

En los casos donde el centro de procesamiento de datos sea en la nube, todos los controles deberán estar cubiertos por el proveedor, debiendo presentar certificaciones o constancias que avalen esto.

Instituciones de saludSe deben tomar las medidas necesarias para asegurar la disponibilidad de los equipos de áreas críticas o que cumplan funciones críticas que se encuentren fuera del centro de procesamiento de datos.
Instituciones Emisoras de Dinero Electrónico (IEDE) No aplica
Guía de evidencia para auditoría
  • Plan de continuidad de las operaciones.
  • Evidencia de las pruebas realizadas al plan en el período auditado (resultados de las pruebas, aprobaciones requeridas, actividades correctivas y de mejora continua).
  • Sitio de contingencia y facilidades operativas de contingencia.
  • Documento de arquitectura de red del centro de procesamiento de datos, incluyendo su esquema de redundancia.
NormativaNo aplica

Etiquetas