👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.17.1.3
ISO 27001 en su versión 2022: A.5.29
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a probar los procedimientos de recuperación definidos en tu Plan de Recuperación ante Desastres y tu Plan de Continuidad en un entorno controlado, en una especie de simulación, y a documentar los resultados adecuadamente.
💡Las pruebas de continuidad tienen como objetivo validar la eficiencia de las estrategias de recuperación definidas por la empresa, para que, en caso de no obtener los resultados esperados, sea posible ajustar dichas estrategias a tiempo, y estar siempre preparados para afrontar una situación real de crisis o desastre.
¿Qué tengo que hacer? 🚀
Recuerda que DRP significa Disaster Recovery Plan (por sus siglas en inglés), y corresponde a tu Plan de Recuperación ante Desastres. Y BCP significa Business Continuity Plan, (por sus siglas en inglés), y corresponde a tu Plan de Continuidad 🤓.
Para lograr esta actividad te recomendamos aplicar los siguientes pasos:
Selecciona por lo menos un escenario de crisis asociado a las estrategias de recuperación que definiste en el DRP (más enfocado a la recuperación de componentes e infraestructura tecnológica) y/o en el BCP (más enfocado en la seguridad de las personas).
Los escenarios seleccionados deben quedar documentados dentro del template que te proporcionamos.
Identifica los activos afectados.
Los activos afectados deben quedar documentados dentro del template que te proporcionamos.
Planifica la fecha y horario más adecuados para ejecutar la prueba, así como el entorno en el que debe aplicarse.
Por ejemplo, si vas a simular una caída de base de datos, una restauración de copias de seguridad, una eliminación de un componente de la infraestructura tecnológica, o algo similar, esto puede requerir una preparación previa para asegurar que no afecte las operaciones de la organización.
Notifica a los involucrados en la ejecución de la prueba.
Define el cronograma de actividades.
El cronograma debe quedar documentado dentro del template que te proporcionamos.
Ejecuta la prueba de continuidad y documenta los resultados obtenidos. Estos resultados deben incluir:
Las horas en las que se ejecutó cada una de las actividades planificadas en el cronograma.
Los responsables de ejecutarlas.
Si la actividad fue exitosa o fallida.
Los RPOs y RTOs esperados (definidos en el DRP y en el BCP) y los reales, es decir aquellos obtenidos durante la prueba.
El listado de participantes.
💡Obtén e incluye capturas de pantalla de todos los pasos y acciones que realices cuando sea posible ya que esto complementa los resultados de tu prueba y aportan mucho valor como evidencia del cumplimiento normativo.
Los resultados obtenidos te permitirán identificar si tu estrategia de recuperación es efectiva para asegurar la continuidad de los procesos y/o activos afectados. De no ser así, deberás ajustar dichas estrategias y procedimientos definidos en tu DRP y BCP.
Debes realizar estas pruebas de continuidad de manera periódica por lo menos una vez al año. Además, te recomendamos realizar una prueba antes de la auditoría interna para garantizar que está alineada a los requisitos normativos 📑.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu prueba fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Asegúrate que la ejecución de la prueba no impacte en las operaciones de la organización.
Documenta toda la información que te sugerimos, e incluso toda aquella que consideres relevante, de la forma más detallada posible, ya que este reporte funge como evidencia de cumplimiento durante auditorías.
También puedes utilizar este reporte para notificar a la alta dirección y/o comité de seguridad sobre las acciones realizadas y los resultados obtenidos. ¡Recuerda que es muy importante que conozcan la capacidad de respuesta de la empresa en temas de continuidad del negocio!
Si realizas cambios en el DRP o en el BCP, te recomendamos ejecutar una nueva prueba, aunque no se haya cumplido el año de la periodicidad sugerida, para asegurar que dichos cambios realmente son efectivos.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.