AUDITORIA BCP - DRP

AUDITORIA BCP - DRP

Planeación y organización

Lo que busca este método es que todo sea previamente preparado, para esto hay que definir un plan estratégico y la arquitectura de la información. Determinar la dirección tecnológica, definir la organización y las relaciones de la tecnología de la información. Con esta preparación se busca administrar el recurso humano, asegurar y cumplir los requerimientos externos, se debe elaborar una evaluación de riesgos y administrar los proyectos de calidad.

Adquisición e implementación

Aquí se identifican soluciones, se hace la adquisición y mantenimiento de Sw aplicativo y de arquitectura de TI, desarrollo y mantenimiento de procedimientos de TI, se instalan y acreditan sistemas y por último se administran cambios.

Servicios y Soporte

Se prestan servicios a terceros y se mide el nivel de capacidad y desempeño del servicio prestado. Se garantiza la seguridad del sistema, se identifican y asignan costos, se administran los datos las instalaciones y las operaciones.

Seguimiento

Se hace seguimiento de los procesos, se hace un adecuado control interno, se obtiene el aseguramiento independiente y se provee una auditoría independiente.

MODELOS DE SEGURIDAD DE LA INFORMACIÓN DRI-BCP

Asegurar servicio continuo

Cooperación con los propietarios de los procesos de negocio: Establecer un Framework de continuidad el cual define

- roles tareas y responsabilidades. Personal interno y externo.

- Enfoque metodológico basado en riesgos. Recursos críticos – riesgos - amenazas – vulnerabilidades – dependencias claves.

- Reglas estructuras procedimientos para aprobar, probar y ejecutar el pna de continuidad.

Estrategia y filosofía del plan de continuidad de TI: La gerencia debe asegurar que el plan de continuidad de TI este en línea con el general para asegurar consistencia a largo y corto plazo.

Contenido del plan de continuidad:

- guías para utilizar el plan de continuidad

- procedimiento de emergencia para los miembros

- procedimientos definidos para permitir al negocio retornar al estado en que se encontraba antes del incidente

- coordinación con las autoridades publicas

- información sobre equipos de continuidad afectando clientes proveedores y autoridades públicas incluso medios de comunicación

- Procedimientos de recuperación

Mantenimiento del plan de continuidad de TI: Proveer procedimientos de control de cambios para asegurar que este se mantenga actualizado

Pruebas del plan de continuidad: evaluar la adecuación de manera regular o cuando se presentan cambios mayores en el negocio o en la infraestructura de TI. Preparación cuidadosa documentación y reporte de resultados de las pruebas e implementar un plan de acuerdo a esos resultados.

Entrenamiento del plan: La metodología ante desastres debe asegurar que todas las partes reciban sesiones de entrenamiento

Afinamiento del plan de continuidad: luego de hacer la reanudación de la función de TI después de un desastre, la gerencia debe establecer procedimientos para evaluar lo adecuado del plan.

Roles del Auditor

Debe tener tres características:

Aprendiz: Capacitarse y capacitarse en los temas

Consultor: Contribuir a la sensibilización durante la definición o establecimiento del framework, durante el proyecto inicial o construcción de planes, sugiriendo innovaciones.

Evaluador: Durante la elaboración de los planes se deben elaborar revisiones a los procesos de construcción, revisiones posteriores a los planes.

Tipos de auditoria

• Verificación de cumplimiento

• Comparación buena practica

• Cumplimiento de objetivos de control

• Basada en riesgos

• Auditoria

...