Planeacion

La recuperación de desastres se puede definir con una sola palabra, reconstrucción, el propósito es permitir que la organización pueda continuar ofreciendo servicios críticos en caso de que haya una interrupción de sus sistemas de información. Una planeación rigurosa y el compromiso de los recursos de la organización es necesario para adecuar el plan para este evento.

Algunos ejemplos de riesgos en la organización son los siguientes:

Los planes de recuperación de desastres especifican las actividades y los procesos que la organización realiza para asegurar que la información no se pierda en caso de que algún suceso interrumpa abruptamente la operación de los sistemas de información; como auditor debes de identificar los pasos de este plan en la organización y asegurarte de que la gerencia y todos los individuos de la organización cumplan con los procesos establecidos para resguardar la información.

10.2 Importancia de la continuidad del negocio

El plan de continuidad (BCP) es un proceso diseñado para reducir los riesgos de la operación del negocio derivados de una irrupción inesperada de las operaciones/funciones críticas de la organización y que son necesarias para su correcto funcionamiento. Esto incluye los recursos materiales y humanos que apoyen a estas funciones u operaciones, y el aseguramiento de la continuidad de al menos un nivel de servicios mínimo para estas operaciones críticas.

A diferencia de la recuperación de desastres, el BCP se enfoca en los ingresos, ya que mientras la organización cuente con tiempo, dinero y sus operaciones sigan ejecutándose, la organización estará bien. El objetivo del BCP es asegurar que las funciones del núcleo del negocio continúen con una interrupción mínima o inexistente.

Las tareas de auditor de un plan de continuidad de negocio incluyen:

Entender y evaluar el BCP y su relación con los objetivos del negocio.

Evaluar el BCP para determinar si es adecuado y está actualizado.

Comparar el BCP con estándares y regulaciones gubernamentales.

Verificar la efectividad del BCP, analizando las pruebas realizadas y revisando los resultados reportados.

Revisar las condiciones del sitio alterno. Instalaciones, contenido, seguridad y condiciones ambientales.

Evaluar la capacidad del personal para responder a situaciones de emergencia.

Revisar los procedimientos de emergencia y la capacitación de los empleados.

Asegurar que exista y se realice un plan de mantenimiento al BCP.

Revisar los contratos y acuerdos que se incluyan en el BCP.

Revisar las pólizas de seguro.

Evaluar manuales y procedimientos de BCP.

A continuación se presenta una serie de preguntas que servirán como guía al auditor en el desarrollo de la auditoría:

¿Quién es el responsable de coordinar y administrar el BCP?

¿Quién es el responsable de mantener el BCP actualizado?

¿Existen los equipos responsables de la implementación del plan?

¿Dónde están almacenadas las copias de los BCP?

¿Qué sistemas críticos cubre el BCP?

¿Qué equipos y aplicaciones no están cubiertas en el BCP?, ¿por qué?

¿Existen supuestos especiales para el plan?, ¿cuáles?

¿El BCP especifica los puntos de reunión?

¿Los procedimientos documentados son adecuados?

¿Existe una clasificación de desastres?, ¿cómo actuar ante cada una?

¿Incluye planes de recuperación para telecomunicaciones?

¿Dónde se encuentra ubicado el sitio alterno?

¿En caso de no poder regresar

...