Marco de Ciberseguridad 5.0

Función: Recuperar (RC)

RC.RP Ejecución del plan de recuperación de incidentes 

Se realizan actividades de restauración que garantizan la disponibilidad operativa de los sistemas y servicios afectados por incidentes de ciberseguridad. 

 

 

Subcategoría 

 

Nivel 1 

Nivel 2 

Nivel 3 

Nivel 4 

RC.RP-01. La parte de recuperación del plan de respuesta a incidentes se ejecuta una vez que se inicia desde el proceso de respuesta a incidentes. 

CO.4-1: Se cuenta con ciertas medidas de contingencia y recuperación para los sistemas que dan soporte a los servicios críticos. 

CO.4-2: Están identificados un conjunto de amenazas que podrían afectar la continuidad operativa. 

GI.5-1: Se han definido los mecanismos de respuesta a incidentes. 

CO.4-4: Existen planes formales de contingencia operativa y de recuperación ante desastres, validados por la alta dirección. 

GI.5-7: Está definido un plan y/o procedimiento de respuesta ante incidentes. 

 

CO.4-8: Se ha definido el o los responsables del mantenimiento de los planes de contingencia y de recuperación. 

CO.4-9: Los planes de contingencia y de recuperación contemplan la participación de proveedores de servicios críticos, acorde a los acuerdos de nivel de servicio (SLA) y su involucramiento en las pruebas de contingencia. 

GI.5-13: El plan de respuesta a incidentes es probado anualmente. 

RC.RP-02. Se seleccionan, delimitan, priorizan y llevan a cabo las acciones de recuperación. 

CO.4-3: Existen respaldos de información de los sistemas que dan soporte a los servicios críticos. 

CO.4-5: Se ha identificado el orden de prelación para la recuperación en base a la dependencia de los servicios. 

CO.4-6: Se cuenta con un Análisis de Impacto al Negocio (BIA) que identifica los procesos críticos. 

CO.4-7: Se ejecutan pruebas puntuales o parciales de los planes. 

CO.4-10: Se registran los resultados de las pruebas. 

 

RC.RP-03. Se verifica la integridad de las copias de seguridad y otros activos de restauración antes de usarlos para la restauración. 

SO.6-1: Se realizan respaldos periódicos de al menos los activos de información del centro de datos (aplicaciones, bases de datos, máquinas virtuales, etc.). 

SO.6-4: Los respaldos son probados regularmente 

SO.6-6: Se cuenta con soluciones automatizadas para asistir en la realización de los respaldos. 

SO.6-7: Existe una política de respaldos. 

SO.6-8: Existen procedimientos documentados de realización y prueba de recuperación de respaldos. 

SO.6-10: La política y el procedimiento de respaldo se encuentran alineados al plan de contingencia y al plan de recuperación. 

SO.6-11: La política y procedimiento de respaldos se revisan regularmente. 

RC.RP-04. Se tienen en cuenta las funciones críticas de la misión y la gestión de riesgos de ciberseguridad para establecer normas operativas posteriores al incidente. 

GI.6-1: Se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en el centro de procesamiento de datos. 

GI.6-2: Se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en toda la organización. 

GI.6-3: Las lecciones aprendidas son puestas a disposición y comunicadas a todas las partes interesadas. 

GI.6-4: Se cuenta con herramientas que dan soporte al registro y gestión de las lecciones aprendidas. 

GI.6-5: Las lecciones aprendidas se contemplan para mejorar los planes de respuesta a incidentes. 

GI.6-6: Las lecciones aprendidas son utilizadas para mejorar los canales de comunicación establecidos con las partes involucradas y los procesos de escalamiento. 

GI.6-7: Las lecciones aprendidas son utilizadas para la mejora de los procesos de la organización. 

GI.6-8: Se generan indicadores para seguimiento y control. 

GI.6-9: Se definen indicadores para poder medir la efectividad de los controles. 

RC.RP-05. Se verifica la integridad de los activos restaurados, se restauran los sistemas y servicios y se confirma el estado operativo normal. 

CO.5-1: Está designado un responsable o equipo para la identificación de métricas de recuperación para procesos críticos. 

CO.5-3: Se ha determinado el RTO (Recovery Time Objective) para cada sistema que soporte un proceso crítico. 

CO.5-4: Se ha definido el RPO (Recovery Point Objective) para cada sistema que soporte un proceso crítico. 

CO.5-5: Las métricas MTD, RTO y RPO han sido utilizadas para identificar brechas entre los tiempos actualmente alcanzables y los requerimientos definidos. 

CO.5-6: Las métricas definidas han sido incorporadas como insumo obligatorio en el diseño, pruebas y evaluación de los planes de continuidad. 

CO.5-8: Los resultados de las pruebas de continuidad son comparados contra las métricas definidas y se documentan desviaciones con planes de mejora asociados. 

CO.5-9: Las métricas son utilizadas como insumo en análisis costo-beneficio para priorizar inversiones en infraestructura, redundancia o automatización de recuperación. 

RC.RP-06. Se declara el fin de la recuperación del incidente sobre la base de criterios y se completa la documentación relacionada con el incidente. 

GI.6-1: Se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en el centro de procesamiento de datos. 

GI.6-2: Se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en toda la organización. 

GI.6-3: Las lecciones aprendidas son puestas a disposición y comunicadas a todas las partes interesadas. 

GI.6-5: Las lecciones aprendidas se contemplan para mejorar los planes de respuesta a incidentes. 

GI.6-6: Las lecciones aprendidas son utilizadas para mejorar los canales de comunicación establecidos con las partes involucradas y los procesos de escalamiento. 

GI.6-7: Las lecciones aprendidas son utilizadas para la mejora de los procesos de la organización. 

RC.CO Comunicación de la recuperación del incidente 

Se coordinan las actividades de restauración con las partes internas y externas. 

 

Subcategoría 

 

Nivel 1 

Nivel 2 

Nivel 3 

Nivel 4 

RC.CO-03. Las actividades de recuperación y los progresos en el restablecimiento de las capacidades operativas se comunican a las partes interesadas internas y externas designadas. 

CO.6-1: La comunicación externa de las situaciones de crisis o incidentes mayores es llevada a cabo exclusivamente por la Dirección o por quien ésta haya determinado. 

CO.6-2: Las áreas técnicas pueden realizar comunicaciones externas sólo si cuentan con autorización expresa de la Dirección o por quien ésta haya determinado. 

CO.6-3: Se ha comunicado quién es el vocero designado y a través de qué canales debe ser contactado. 

 

CO.6-4: Se ha definido y documentado un plan y/o procedimiento de comunicaciones ante crisis que cubre la evaluación del evento, las notificaciones, nivel de comunicación requerido, mensajes, audiencia, interesados y monitoreo de las comunicaciones. 

CO.6-5: El plan y/o el procedimiento han sido difundidos entre todos los actores involucrados en la gestión de crisis y continuidad operativa. 

CO.6-6: Se realizan ensayos periódicos que incluyen la ejecución del plan y procedimiento de comunicación ante crisis, de forma coordinada con los ejercicios de continuidad y recuperación.  

CO.6-7: Se realizan auditorías internas para verificar el cumplimiento del plan y procedimiento de comunicaciones ante crisis. 

CO.6-8: Los resultados de las revisiones y ensayos son documentados y utilizados para ajustar, actualizar y mejorar continuamente el plan y procedimiento de comunicaciones.  

CO.6-9: La Dirección participa activamente en las actualizaciones del plan, en especial, en la aprobación y modo de difusión de los mensajes. 

RC.CO-04 Las actualizaciones públicas sobre la recuperación del incidente se comparten mediante el uso de métodos y mensajes aprobados. 

CO.6-1: La comunicación externa de las situaciones de crisis o incidentes mayores es llevada a cabo exclusivamente por la Dirección o por quien ésta haya determinado.  

CO.6-2: Las áreas técnicas pueden realizar comunicaciones externas sólo si cuentan con autorización expresa de la Dirección o por quien ésta haya determinado. 

CO.6-3: Se ha comunicado quién es el vocero designado y a través de qué canales debe ser contactado.  

CO.6-4: Se ha definido y documentado un plan y/o procedimiento de comunicaciones ante crisis que cubre la evaluación del evento, las notificaciones, nivel de comunicación requerido, mensajes, audiencia, interesados y monitoreo de las comunicaciones. 

CO.6-5: El plan y/o el procedimiento han sido difundidos entre todos los actores involucrados en la gestión de crisis y continuidad operativa. 

CO.6-7: Se realizan auditorías internas para verificar el cumplimiento del plan y procedimiento de comunicaciones ante crisis. 

 

 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay