Guía de Implementación del Marco de Ciberseguridad 5.0

CO.5 Definir las ventanas de tiempo soportadas para la continuidad de las operaciones

Requisito CO.5 Definir las ventanas de tiempo soportadas para la continuidad de las operaciones
ObjetivoDefinir métricas básicas para planificar la continuidad de las operaciones.
Controles

Nivel 1

  • CO.5-1: está designado un responsable o equipo para la identificación de métricas de recuperación para procesos críticos.

Nivel 2

  • CO.5-2: se han definido formalmente las ventanas de tiempo máximo soportadas por el negocio sin poder operar (MTD), para cada sistema que soporte un proceso crítico.
  • CO.5-3: se ha determinado el RTO (Recovery Time Objective) para cada sistema que soporte un proceso crítico.
  • CO.5-4: se ha definido el RPO (Recovery Point Objective) para cada sistema que soporte un proceso crítico.

Nivel 3

  • CO.5-5: las métricas MTD, RTO y RPO han sido utilizadas para identificar brechas entre los tiempos actualmente alcanzables y los requerimientos definidos.
  • CO.5-6: las métricas definidas han sido incorporadas como insumo obligatorio en el diseño, pruebas y evaluación de los planes de continuidad.
  • CO.5-7: las métricas son revisadas periódicamente y actualizadas ante cambios en procesos o tecnologías.

Nivel 4

  • CO.5-8: los resultados de las pruebas de continuidad son comparados contra las métricas definidas y se documentan desviaciones con planes de mejora asociados.
  • CO.5-9: las métricas son utilizadas como insumo en análisis costo-beneficio para priorizar inversiones en infraestructura, redundancia o automatización de recuperación.
Guía de implementación

En el marco de la planificación de la continuidad operativa y del impacto en el negocio, una vez que se identifican los procesos críticos de la organización, es necesaria la definición de al menos tres métricas para cada unidad de negocio, que apoyan a la definición de las estrategias de continuidad y recuperación:

  • MTD: Maximum tolerable downtime o tiempo de inactividad máximo tolerable.
  • RTO: Recovery time objective o tiempo objetivo de recuperación.
  • RPO: Recovery point objective o punto objetivo de recuperación.

La definición de estas métricas apoyará a la definición de la continuidad operativa de la organización y será punto de partida para la definición de los planes de recuperación. Estas métricas deben tenerse en cuenta al momento de la prueba de los planes.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Plan de continuidad de las operaciones.
  • Plan de recuperación ante desastres.
Normativa asociadaNo aplica

Etiquetas