Precios
Prueba

Continuidad empresarial

La prestación de servicios críticos a los usuarios finales es la principal preocupación de NIS2, por lo que la continuidad de la actividad es un requisito, que requiere un plan, copias de seguridad, redundancia y procedimientos de gestión de crisis.

Continuidad empresarial

La prestación de servicios críticos a los usuarios finales es la principal preocupación de NIS2, por lo que la continuidad de la actividad es un requisito. Esto se explicará con más detalle en el siguiente apartado.

Procedimientos de Continuidad de Negocio

Las organizaciones deben garantizar que sus operaciones puedan continuar, y que se mantenga la ciberseguridad, durante un incidente o crisis grave, y que las operaciones normales puedan restablecerse una vez finalizado el incidente o la crisis.

Durante un incidente o crisis grave, las organizaciones deben ser capaces de mantener la prestación de servicios a los usuarios finales y mantener la ciberseguridad, y que las operaciones normales se restablezcan una vez que haya pasado.

Requisitos

Tu organización debe establecer y mantener procedimientos de continuidad de la actividad que se apliquen en caso de incidente de ciberseguridad. Este procedimiento debe incluir un plan de continuidad de las operaciones y un plan de recuperación tras una crisis, que tu organización debe seguir para restablecer las operaciones de acuerdo con el procedimiento.

El procedimiento de continuidad de la actividad debe basarse en una evaluación de riesgos y puede incluir:

  • la finalidad, el alcance y el público objetivo del procedimiento,
  • funciones y responsabilidades en caso de crisis,
  • Personal interno y externo y una lista de los canales de comunicación que deben utilizarse en caso de emergencia,
  • condiciones de activación y desactivación de las medidas de contingencia de la organización,
  • una descripción de los recursos necesarios para mantener las operaciones en una crisis, como copias de seguridad, recarga y redundancia,
  • una descripción de cómo se coordinará la organización con los responsables de la gestión de incidentes, por ejemplo, qué operaciones pueden continuar sin interferir con los esfuerzos para contener un ataque.

El plan de recuperación puede incluir:

  • planes de recuperación para sistemas operativos específicos y objetivos de recuperación, como lo bien que deben funcionar los sistemas y qué datos deben restaurarse primero,
  • la secuencia para restablecer las operaciones, por ejemplo, qué servicios deben entrar en funcionamiento primero debido a las interdependencias, y cómo se pueden utilizar medidas temporales, como procesos manuales o métodos de comunicación alternativos,
  • un plan para verificar que la confidencialidad y la integridad no se han visto comprometidas durante la recuperación.

Documentación

Tu procedimiento de continuidad de la actividad debe revisarse y probarse a intervalos regulares planificados, así como después de incidentes graves o cambios significativos en el entorno operativo o la situación de riesgo. Tus revisiones deben comprobar si el procedimiento funciona según lo previsto y está suficientemente actualizado para las condiciones actuales de la organización, y cualquier cambio en los procedimientos debe documentarse.

Copia de seguridad

Debes disponer de procedimientos de copia de seguridad que garanticen que los datos relevantes de la organización están respaldados para que puedan restaurarse en caso de pérdida, daño o cualquier otra interrupción.

Requisitos

Tu organización debe disponer de procedimientos que garanticen que todos los datos relevantes, incluidos los de configuración, se guardan en una copia de seguridad que respalde la continuidad de la actividad.

Tus planes de copia de seguridad deben basarse en tu evaluación de riesgos y en tus planes de continuidad de la actividad, y pueden tener en cuenta lo siguiente:

  • El tiempo máximo aceptable para restaurar los datos,
  • Asegúrate de que las copias de seguridad son completas y precisas, incluidos los datos de configuración y los almacenados en servicios en la nube,
  • Almacena las copias de seguridad de forma segura, en línea o sin conexión, en una o varias ubicaciones fuera de la red del sistema principal y lo suficientemente lejos como para evitar daños por incidentes en el sitio principal,
  • Aplica fuertes controles de acceso físico y lógico a las copias de seguridad, incluso durante el transporte, como salas de servidores cerradas con llave, transporte sellado, copias de seguridad encriptadas con gestión externa de claves, controles de acceso basados en roles (RBAC) o autenticación multifactor (MFA),
  • Define cuánto tiempo deben conservarse las copias de seguridad, en función de los requisitos empresariales, legales y normativos,
  • Especifica cuándo y cómo se pueden restaurar los datos, incluyendo quién debe aprobar el tratamiento,
  • Realiza comprobaciones y pruebas periódicas para confirmar que las copias de seguridad son precisas, completas y restaurables,
  • Prueba los procedimientos de copia de seguridad y restauración a intervalos regulares.

En entornos OT (Tecnología Operativa), donde el tiempo de actividad es crítico, también se pueden utilizar métodos de recuperación alternativos, como almacenar archivos de configuración para recargarlos rápidamente, utilizar redundancia de sistemas o conmutar por error a dispositivos preconfigurados.

Documentación

Tu organización debe documentar que prueba regularmente las copias de seguridad o los métodos alternativos de recuperación para confirmar que están completos y disponibles tal como se describen en los procedimientos de copia de seguridad. Debes asegurarte de que las copias de seguridad tienen la integridad necesaria, aunque parezcan estar completas. Los resultados de estas pruebas deben documentarse y ser aprobados por la dirección correspondiente.

Redundancia

El objetivo de aplicar medidas de redundancia es garantizar que tu organización tenga acceso a recursos suficientes cuando sea necesario, incluidas instalaciones, personal, sistemas de red e información y componentes.

Requisitos

Tu organización debe evaluar si es necesario establecer una redundancia, por ejemplo, disponiendo de equipos informáticos de repuesto o de ubicaciones alternativas. Esta evaluación debe basarse en la política de seguridad de la información, la política de gestión de riesgos y el plan de continuidad de tu organización.

Al evaluar la necesidad de despidos, ten en cuenta, por ejemplo:

  • la red y los sistemas de información, incluidos el hardware, el software, los servicios y los datos,
  • activos no humanos, incluyendo instalaciones, equipos y suministros,
  • personal con las responsabilidades, la autoridad y la competencia necesarias,
  • canales de comunicación adicionales o alternativos adecuados.

Tu organización puede crear redundancias internamente o llegar a acuerdos con terceros para garantizar una redundancia adecuada.

Tu organización también debe asegurarse de que los responsables de supervisar y gestionar los recursos estén informados de los requisitos de despido, para que las expectativas estén claras y puedan garantizar que se dispone de los recursos necesarios.

Documentación

Deberías evaluar periódicamente tu necesidad de redundancia en hardware, software, servicios, instalaciones y otros recursos para garantizar que se dispone de los recursos adecuados en caso de interrupciones operativas. Debe documentarse cómo aplicar los recursos redundantes para que el personal pertinente sepa cómo acceder a ellos y utilizarlos cuando sea necesario.

Gestión de crisis

El objetivo de establecer procedimientos de gestión de crisis es garantizar que tu organización dispone de procesos para gestionar las crisis en caso de que se produzcan uno o varios incidentes graves simultáneos.

Requisitos

Tu organización debe evaluar si es necesario un plan de contingencia con procedimientos de gestión de crisis. Si se identifica tal necesidad, tu organización debe crear y documentar los procedimientos necesarios para gestionar incidentes muy graves.

Estos procedimientos de gestión de crisis pueden abordar lo siguiente

  • La ciberseguridad debe mantenerse durante una crisis utilizando medidas adecuadas, como sistemas de apoyo, procesos definidos y capacidad adicional.
  • Deben definirse claramente las funciones y responsabilidades del personal, los proveedores y los prestadores de servicios, y éstos deben conocer sus responsabilidades y los procedimientos específicos a seguir en caso de crisis.
  • Deben establecerse métodos y canales de comunicación adecuados con las autoridades sectoriales pertinentes. Esto debe incluir la comunicación obligatoria, como la notificación de incidentes en los plazos requeridos, así como otras comunicaciones pertinentes.

Tu organización también debe poner en marcha un proceso para tratar y utilizar la información recibida del CSIRT nacional, como incidentes de seguridad, vulnerabilidades, amenazas y medidas recomendadas.

Documentación

Tu plan de gestión de crisis debe documentarse y revisarse a intervalos regulares para garantizar que sigue siendo suficiente y está actualizado para la situación actual de tu organización. También deben realizarse ejercicios periódicos para comprobar si el plan funciona según lo previsto. En función de los resultados, deben introducirse y documentarse los cambios necesarios en el plan.

Prueba RGPD

Comprueba si conoces bien el RGPD.

  • Responderás a 13 preguntas sobre el RGPD.
  • Sólo te llevará 1-2 minutos.
  • Los expertos suelen responder correctamente a las 13 preguntas.
Prueba RGPD

Prueba gratuita

Nos pondremos en contacto contigo por correo electrónico lo antes posible.