Guía de Implementación del Marco de Ciberseguridad 5.0

CO.4 Planificar la continuidad de las operaciones y recuperación ante desastres

Requisito CO:4Planificar la continuidad de las operaciones y recuperación ante desastres
ObjetivoPreparar a la organización ante eventos anormales, disruptivos o desastres que puedan afectar sus operaciones, en principio, relacionadas a servicios críticos.
Controles

Nivel 1

  • CO.4-1: se cuenta con ciertas medidas de contingencia y recuperación para los sistemas que dan soporte a los servicios críticos.
  • CO.4-2: están identificados un conjunto de amenazas que podrían afectar la continuidad operativa.
  • CO.4-3: existen respaldos de información de los sistemas que dan soporte a los servicios críticos.

Nivel 2

  • CO.4-4: existen planes formales de contingencia operativa y de recuperación ante desastres, validados por la alta dirección-
  • CO.4-5: se ha identificado el orden de prelación para la recuperación en base a la dependencia de los servicios. 

Nivel 3

  • CO.4-6: se cuenta con un Análisis de Impacto al Negocio (BIA) que identifica los procesos críticos.
  • CO.4-7: se ejecutan pruebas puntuales o parciales de los planes.

Nivel 4

  • CO.4-8: se ha definido el o los responsables del mantenimiento de los planes de contingencia y de recuperación.
  • CO.4-9: los planes de contingencia y de recuperación contemplan la participación de proveedores de servicios críticos, acorde a los acuerdos de nivel de servicio (SLA) y su involucramiento en las pruebas de contingencia.
  • CO.4-10: se registran los resultados de las pruebas.
  • CO.4-11: el resultado de las pruebas retroalimenta las lecciones aprendidas y sirven para la mejora continua de los planes y procedimientos.
Guía de implementación

Planificación, Políticas y procedimientos
El objetivo de la planificación de la continuidad es mantener las operaciones de un negocio en caso de una situación de emergencia. El objetivo del equipo dedicado a planificar la continuidad de las operaciones es diseñar políticas, procesos, procedimientos y un plan de contingencia y recuperación para que cualquier evento potencialmente disruptivo tenga el menor impacto posible en el negocio. La meta de un plan de contingencia y recuperación es mantener operativos aquellos procesos de negocio críticos con infraestructura y/o capacidades reducidas, limitadas. La capacidad de continuidad de una organización permite mantener los procesos críticos funcionando y a la vez gestionar las actividades de restauración y recuperación usando el plan de recuperación ante desastres.

Dentro de la planificación de la continuidad operativa, se debe considerar la continuidad de la gestión de la seguridad de la información en situaciones de crisis o desastres. Esto implica que los planes deben incluir los requisitos de seguridad de la información. Estos requisitos pueden abordarse en el primer punto mencionado en la metodología (conocimiento de los procesos críticos del negocio y su impacto en el negocio) y deben explicitarse en los planes.

Metodología para la planificación de la continuidad operativa
Para cumplir con estas premisas, la organización debe contar con una metodología para la planificación de la continuidad operativa que incluya al menos:

  • Conocimiento de los procesos críticos y su impacto en el negocio (análisis BIA).
  • Análisis de riesgos que pueden afectar los procesos críticos.  
  • Análisis del negocio desde el punto de vista de una crisis o un evento disruptivo que afecte los procesos críticos.
  • Contar con un equipo para definir las políticas, planes, procesos y procedimientos de contingencia y recuperación.
  • La conformación del equipo encargado de definir el plan de contingencia y recuperación (con aprobación de la Dirección).
  • Conocimiento de los aspectos normativos que afectan a la organización.

Plan de contingencia y recuperación
Una vez analizados los aspectos anteriormente mencionados, la organización debe confeccionar formalmente un plan de contingencia y recuperación.

Pruebas al plan de contingencia y recuperación
Se debe establecer también un plan de pruebas al plan de contingencia y recuperación, con una frecuencia al menos anual. Para optimizar estas pruebas, se debe identificar el orden de prelación para la recuperación en base a la dependencia de los servicios. Se debe tener en cuenta la incorporación de los proveedores de servicios críticos para la realización del plan y pruebas de contingencia y recuperación.

Capacitación al personal
Se debe también planificar la capacitación del personal con relación a la continuidad operativa.

Comunicación
Se debe establecer una estrategia de comunicación a todo el personal interno y externo involucrado en caso de circunstancia que requiera la activación del plan de continuidad.

Instituciones de saludSe debe establecer al menos algún mecanismo de contingencia en caso de indisponibilidad de los sistemas de HCE propios para lograr la consulta a la historia clínica de los usuarios. 
Se recomienda considerar todos los procesos y equipamiento crítico relacionados con la asistencia de los usuarios.
Considerar en el plan de continuidad operativa, cuando el personal de TI y médico comparten instalaciones, los planes de prevención y mitigación del contagio del personal de TI ante el caso de aparición de una enfermedad altamente contagiosa.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Plan de contingencia y recuperación de las operaciones.
  • Plan de recuperación ante desastres.
  • Plan de pruebas del plan de contingencia y recuperación.
  • Resultados de las pruebas realizadas al plan en el período auditado (resultados, aprobaciones requeridas, actividades correctivas y de mejora continua).
  • Sitio de contingencia y facilidades operativas de contingencia.
  • Evidencia de capacitaciones realizadas sobre continuidad operativa. 
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay