👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 10 y 14 del Marco COSO, y los criterios CC7.5 y CC9.1.
TSC: Disponibilidad: A1.3.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a probar los procedimientos de recuperación definidos en tu “Plan de Recuperación ante Desastres” y tu “Plan de Continuidad” en un entorno controlado (un simulacro) y a documentar los resultados adecuadamente.
💡 Las pruebas de continuidad tienen como objetivo validar la eficiencia de las estrategias de recuperación. Si no se obtienen los resultados esperados durante la prueba, es posible ajustar los planes a tiempo y estar siempre preparados para afrontar una situación real.
¿Qué tengo que hacer? 🚀
Recuerda que DRP es tu “Plan de Recuperación ante Desastres” (enfocado en tecnología) y BCP es tu “Plan de Continuidad” (enfocado en el negocio). Para realizar esta actividad, te recomendamos aplicar los siguientes pasos:
Selecciona un escenario de crisis
Elige por lo menos un escenario de los que definiste en tu DRP o BCP para simular. Por ejemplo: una caída de tu proveedor de nube, un ataque de ransomware que cifra tus servidores, o la indisponibilidad de tu base de datos principal.
Planifica la prueba
Define la fecha, el horario y el entorno en el que se aplicará la prueba. Es crucial planificarla de manera que no afecte a tus operaciones reales en producción. Notifica a todos los involucrados y define un cronograma claro de las actividades a realizar.
Ejecuta la prueba y documenta los resultados
Lleva a cabo el simulacro siguiendo los pasos de tu plan. Durante la ejecución, es fundamental documentar los resultados con el mayor detalle posible. Tu reporte de prueba debe incluir:
Horarios: Hora de inicio y fin de cada actividad.
Responsables: Quién ejecutó cada paso.
Resultado de cada actividad: Si fue exitosa o fallida.
Métricas clave: Compara los RPOs y RTOs esperados (los que definiste en tu plan) con los RPOs y RTOs reales (los que obtuviste durante la prueba). Esta comparación es la evidencia más importante del éxito de la prueba.
Evidencia: Incluye capturas de pantalla, logs o cualquier otra evidencia que demuestre las acciones realizadas.
Los resultados te permitirán identificar si tu estrategia es efectiva. De no ser así, deberás ajustar los procedimientos en tu DRP y BCP.
Debes realizar estas pruebas de manera periódica, por lo menos una vez al año, como lo espera el criterio A1.3.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu prueba fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Asegúrate de que la ejecución de la prueba no impacte en las operaciones reales de la organización.
Documenta toda la información de la forma más detallada posible, ya que este reporte es una evidencia de cumplimiento fundamental durante las auditorías de SOC 2.
Utiliza el reporte de la prueba para notificar a la alta dirección y/o al comité de seguridad sobre la capacidad de respuesta real de la empresa.
Si realizas cambios significativos en tu DRP o BCP, te recomendamos ejecutar una nueva prueba para asegurar que los cambios son efectivos.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.