Seminario de Auditoria de Sistemas “PLAN DE CONTINUIDAD DEL NEGOCIO” INTRODUCCIÓN La dinámica de los cambios en los
Views 145 Downloads 4 File size 666KB
Seminario de Auditoria de Sistemas “PLAN DE CONTINUIDAD DEL NEGOCIO”
INTRODUCCIÓN
La dinámica de los cambios en los negocios, hace que el riesgo sea
constante.
El riesgo puede darse de diversas formas.
Gerentes, organización o el negocio en su integridad tiene que ser más proactivo en administrar el riesgo.
Problema
Determinar
el
universo
aplicable
del
riesgo,
identificando los más probables que afecten a las tecnologías de procesamiento de información.
Formular estrategias y tácticas para minimizar el riesgo y use la información como un vehículo de control en la continuidad de las operaciones del negocio.
Los riesgos tendran que ser identificados y administrados a fin de asegurar la continuidad de las operaciones.
Las organizaciones de todo tamaño están identificando más actividades dependientes de TI. Donde una organización deberá empezar su búsqueda para identificar el riesgo inherente a su negocio en particular y a su ambiente de TI?
EL PLAN DE CONTINUIDAD DEL NEGOCIO
El método más efectivo para identificar y administrar el riesgo es a
través del desarrollo e implementación de un Plan de Continuidad del Negocio(PCN).
El PCN, es un documento guía que permite al equipo ejecutivo, la continuidad de las operaciones, ya que la tasa ha sido reducida,
cuando un riesgo se manifiesta mediante un evento destructivo como: inundación, terremoto, pérdida de energía o virus informático.
Un PCN, es en efecto un plan de negocios para operar un proceso o función bajo condiciones extremadamente de stress y de tiempo limitado.
Principal propósito de un PCN, asegurar la continuidad de las operaciones del negocio.
Objetivo secundario cuantificar y cualificar la estructura de recursos necesarios para apoyar los compromisos operacionales requeridos.
Un PCN, intenta limitar las pérdidas tangibles y no tangibles asociados con destrucción o desastre a través de una serie de procedimientos diseñados a manejar las operaciones criticas
durante una situación de emergencia.
EL DILEMA DE LA AUDITORÍA DEL PCN
Para la auditoría de un PCN, existen tres resultados probables: 1.
El plan reune las expectativas,
2.
El plan no reune las expectativas, o
3.
No existe un plan.
El dilema es: donde el auditor empieza su proceso de revisión y
como esta determinado así como la viabilidad o aplicabilidad del plan?
El ciclo de vida de un PCN típicamente tiene cuatro secciones: 1.
Evaluación del riesgo,
2.
Determinación de alternativas de recuperación,
3.
Implementación del plan de recuperación, y
4.
Validación del plan de recuperación.
Dentro de cada una de estas secciones del ciclo de vida, la fijación de recursos aplicables son manipulados para proveer a la organización con la mejor mezcla de recursos críticos y con un costo óptimo y un mínimo de pérdidas tangibles e intangibles.
Estos recursos pueden ser dados dentro de los siguientes componentes: 1.
Información,
2.
Tecnología,
3.
Telecomunicaciones,
4.
Procesos,
5.
Personas, e
6.
Instalaciones.
Antes de evaluar un PCN y determinar su aplicabilidad y viabilidad, un auditor deberá responder algunas preguntas: Existe personal y un comité para los procesos del PCN?
1.
•
Formal, existe plan escrito.
•
Existe comité administrativo que revise el desarrollo, implementación y mantenimiento de un PCN.
•
2.
El periodo de reunión de la junta cubre el PCN. Cuál es el nivel de compromiso de los diversos departamentos en preparar el plan?
•
Cada
departamento
tiene
al
menos
un
representante(manufactura, contabilidad, legal, auditoria interna/externa,
planilla,
recursos
departamentos
funcionalmente
humanos, específicos
y de
otros la
organización). •
El personal en cada departamento conoce que existe un plan y entiende de cómo se implementa el plan.
EVALUACION DEL RIESGO Primero entender el comienzo racional del ciclo de vida PCN antes que cualquier actividad de la auditoria pueda empezar. I.
La fase de evaluación del riesgo
Empieza con los procesos del PCN y compromete:
•
Identificación y documentación de los riesgos TI y de la organización;
•
Evaluar las funciones críticas del negocio necesarias para continuar las operaciones;
•
Definir los controles que están dadas para reducir la
exposición;
•
Determinar la necesidad de controles adicionales; y
•
Evaluar los costos para todos los controles.
Adicionalmente, las entidades del negocio como usan y son apoyados por TI a fin de determinar su nivel de dependencia TI. De este modo, puede ser determinado los conductores de las
aplicaciones de las entidades críticas y procesos del negocio, permitiéndonos visualizar aquellas aplicaciones y HW-TI que podría apoyar a la organización en general en una situación de emergencia.
Finalmente,
el
examen
ayuda
en
la
cuantificación
y
calificación de los impactos tangibles e intangibles sobre las perdidas TI de la organización. Como resultado directo de institucionalizar un plan
de
recuperación
completamente
desarrollado, la administración conocerá donde residen todos sus recursos y como interactúan
para que la empresa siga funcionando.
II.
La segunda fase del ciclo de vida del PCN:
Determinación de la Alternativas de Recuperación Toma el informe de la primera fase y desarrolla las estrategias de recuperación y las tácticas correspondientes comprobable y las limitaciones del tiempo.
basadas en el costo
En esencia, la relación es desarrollada entre la cantidad anticipada de recursos financieros a ser gastados para la recuperación de la organización y sus componentes TI sobre un
periodo dado y la cantidad proyectada de ingresos perdidos y costos incurridos como resultado del desastre. En la figura siguiente, se puede apreciar que la recuperación de los recursos TI inmediatamente después de un evento interrumpido será significativamente más costoso que esperar
que el tiempo pase.
Sin
embargo
la
estrategia
óptima
de
recuperación,
financieramente hablando, podría no encontrarse en la intersección de las líneas de “Impacto” y “Costo a Recuperar”.
El movimiento a lo largo de la línea del “Costo a Recuperar” podría verse influenciada por intereses intangibles tales como
reducción del servicio al cliente, o pérdida de ventaja competitiva debido a eso se acorta o prolonga la ventana de recuperación requerida como corresponde.
Para entender y evaluar la fase de evaluación de riesgo de los procesos de un PCN, el auditor deberá empezar con las siguientes preguntas:
a) Se cuenta con un análisis de evaluación/impacto y ha sido ejecutado y documentado por cada departamento? b) Tiene cada departamento considerado diferentes tipos de riesgos/incidentes
y
su
correspondiente
impacto
y
recuperación sobre cada departamento y la organización en general?
•
Falla eléctrica,
•
Inundación,
•
Incendio,
•
Error humano,
•
Fallas del sistema,
•
Accidente químico,
•
Motines, y
•
Salidas de empleados.
c) El análisis del riesgo evaluación/impacto, evalúa el efecto
sobre
la
confidencia
condición de
financiera, los
posición
clientes,
competitiva,
requerimientos
legales/regulatorios?
d) La administración entiende y tiene aprobado los resultados del estudio de evaluación del riesgo? •
Los resultados del estudio son realistas considerando la naturaleza del producto y del negocio.
•
Auditoría interna ha ejecutado una evaluación exacta de
la calidad de los procesos de evaluación del riesgo.
Una vez que los riesgos han sido identificados y el planeamiento ha sido basado sobre estos riesgos, estrategias continuas deberán ser consideradas para el mejoramiento de
las estrategias existentes. Estrategias de riesgos son establecidas para asistir a la organización en dos vías: 1. Estar mejor preparado, ya que de acuerdo al conocimiento obtenido se puedan preparar las estrategias. 2. Minimizar el impacto de un desastre.
Elementos de la estrategia que pueden ser un enfoque para la revisión del auditor y la que determinará si es aplicable a cada unidad de negocios:
a) Asegurarse,
que
se
haya
identificado
información,
archivos, documentos, material crítico; así como el
personal clave. b) Asegurarse, que los procesos de backup sean completos y
ejecutados regularmente y que los backup de datos sean probados.
c) Mantenimiento mínimo de recuperación de provisiones de materiales del negocio, tales como revisión de stock, formatos críticos y también para los que están fuera de localización. d) Acuerdos para usos de UPS(suministro de energíainterrupciones) para todos los sistemas de datos, voz con
la apropiada cantidad de tiempo de backup. e) Acuerdos de servicios con proveedores claves que definen tiempo de respuestas para reemplazar equipos y/o servicios. f)
Implementación apropiada de sistemas/equipos.
g) Acuerdos para uso apropiado de sistemas de backup de energía, tales como generadores y pruebas de éstos sobres una base regular. h) Proveer protección a procesadores pequeños, tales como servidores de departamentos y PC. i)
Asegurarse de que existan apropiados detectores y
eliminadores de incendios en todas las áreas. j)
Implementación de políticas y procedimientos para todo material peligroso.
k) Instalación apropiada de programas anti-virus a fin de prevenir, detectar y corregir.
l)
Implementación de políticas que cubra la conectividad externa, tales como prácticas de Internet.
m) Políticas desarrolladas para la apropiada implantación y
uso de passwords. n) Políticas desarrolladas y políticas de seguridad de información que cubra violaciones de copias. •
Uso de SW sobre computadoras de la compañía.
•
Apropiada protección para datos transmitidos, incluye autenticación y encriptación.
•
Apropiadas políticas de clasificación de datos.
•
Prácticas de revelaciones de información.
•
Apropiado filtro de datos, a fin de disponer de disponer de dispositivos de almacenamiento y/o cintas.
o) Políticas de viajes de ejecutivos (por ejemplo: número de
ejecutivos claves/total personal) que viajan juntos. p) Obtener un nivel apropiado de seguro, tales como interrupciones del negocio, reemplazo, costo extras, código de cumplimiento y procesamiento de datos.
ESTRATEGIAS DE RECUPERACIÓN Las estrategias de recuperación pueden estar ubicados, sobre tres posibles escenarios: 1. Una estrategia de recuperación predeterminada asume que se puede obtener un recurso dado desde una fuente dada en un muy corto tiempo sin la ayuda de un compromiso
contractual obligatorio. 2. Una estrategia de recuperación predispuesta modifica una estrategia predeterminada con un contrato por escrito que
describe las condiciones para la estrategia predeterminada y que especifica las condiciones para la realización y uso de una estrategia.
3. Una estrategia de recuperación redundante describe la seguridad de un duplicado exacto de un componente dado de manera que el soporte (backup) y la restauración puede ser inmediato e idéntico al sistema puesto que se ha producido antes del incidente de interrupción.
Entender las estrategias de recuperación empleadas
por una organización involucra: Revisar las estrategias de recuperación para cada aplicación y
evaluación de factibilidad de estas estrategias. Evaluar el nivel de dependencia en TI y otros recursos. La dependencia es real y representa las necesidades y capacidades de la organización. Los requerimientos para la recuperación se basan en la exposición razonada y documentada de las funciones empresariales vitales identificadas durante la fase de evaluación del riesgo.
IMPLEMENTACIÓN DEL PLAN DE CONTINUIDAD III.
La tercera fase del ciclo de vida del PCN
Implementación del Plan de Continuidad, toma la información
de la primera fase del proceso de BCP y crea los principios básicos
para
el
desarrollo
y
mantenimiento
documento real del plan de recuperación.
Según recientes estudios, la mayoría de los planes de recuperación no son más que “listas de los porqué” (call lists) de la
emergencia. Las listas de los porqué son importantes, pero solo son una pequeña parte del plan.
continuo
del
La administración de los procedimientos actuales de control de cambio, demanda una revisión de la prueba más reciente en su integridad del plan de recuperación.
Identificación
de
los
individuos
responsables del mantenimiento en las diferentes secciones del plan de recuperación, y el ritmo apropiado de los ciclos periódicos de revisión del plan.
Un plan de continuidad empresarial es un documento propicio para el usuario. Un individuo que podría estar no muy familiarizado con el proceso empresarial
puede leerlo
realizar una función
empresarial de una manera razonable. El plan podría incluir las siguientes categorías e items (Pero no se encuentran limitados a ellos) 1. Información general, 2. Procedimientos administrativos, 3. Procedimientos de la continuidad operacional,
4. Procedimientos de recuperación de los sistemas de información, y 5. Planes para reasumir la aplicación.
Una completa evaluación de la calidad de un PCN incluye la
determinación de lo siguiente: •
El plan integra de manera exitosa los requerimientos de procesamiento de la información con los requerimientos actuales del negocio?
•
Existen procedimientos para las actividades manuales?
•
Es actual la lista llamadas para notificar/escala?
•
Todos los recursos críticos han sido identificados según su función?
•
Han
sido identificados debidamente
recuperación?
los equipos de
•
Son las responsabilidades y actividades de los equipos de
recuperación totalmente delineadas? •
Son identificadas y priorizadas las aplicaciones y funciones críticas?
•
Son identificados los requerimientos de los proveedores y existe contratos formales con éstos outsourcing?
•
Cualquiera de los anteriormente identificado tiene autoridad durante una recuperación?
•
Existe un “plan dentro del plan” para restaurar las operaciones en la casa principal?
•
El plan refleja el modo actual de hacer los negocios?
•
Son los sistemas de procedimientos de restauración parte del plan?
•
Están los procedimientos de recuperación basados sobre los eventos de causas o alcance del daño?
•
Están identificados los procedimientos para notificar al lugar y declarar un desastre?
•
Existe al menos una copia del plan, mantenido en una localización fuera de la empresa?
RATIFICACIÓN DEL PLAN DE CONTINUIDAD IV.
La cuarta y última fase del ciclo de vida del BCP:
Ratificación del Plan de Continuidad
Involucra la capacitación y prueba relacionada con la verificación y ratificación de la habilidad de la organización para recuperar las actividades interrumpidas de TI.
El auditor debe investigar si los tres grupos aplicables de empleados (equipos de recuperación, Administración TI, y otros empleados involucrados) han sido capacitados completamente en sus respectivas responsabilidades durante una situación de desastre o emergencia.
Un plan de recuperación se evalúa según sus principios básicos regulares para ver su viabilidad. Una revisión de los resultados de la prueba de recuperación asegura que la prueba haya sido completa y simule un desastre real. Cada departamento debe
recibir el nivel apropiado de capacitación para una
recuperación.
HALLAZGOS REPRESENTATIVOS Se completó un estudio en las que 23 compañías fueron auditadas a fin de determinar qué riesgos eran los más prevalecientes dentro del
entorno del centro de datos. Hubieron 256 hallazgos en total generados de esta auditoría. Como se muestra en la figura siguiente, todos estos hallazgos
podrían ser agrupados en siete categorías de riesgos principales: energía
eléctrica,
compañía,
seguridad,
arquitectura
física,
documentación, arquitectura del sistema, almacenamiento de
medios, y perfil alto.
1. La primera categoría de riesgo, problemas con el suministro eléctrico, fue experimentada en el 57 por ciento de las compañías. 2. El riesgo de la seguridad de la compañía fue una recolección de la seguridad física, intervención humana, y problemas comunes y abarcó el 35% de todos los incidentes de riesgo en la muestra. 3. El riego de arquitectura física agrupa los peligros de fuego, ubicación de la instalación, arquitectura de la instalación, y tendencia a los daños por inundación y abarca el 12 por ciento de todos los incidentes de riesgo. 4. El riesgo más grande es la falta de una buena documentación y proceso del sistema. En general, el 27 por ciento de todos los incidentes de riesgo abarcaron este problema.
5. A pesar que solo el 6 por ciento de los incidentes de riesgo apuntaron al riesgo de la arquitectura del sistema, el 48 por ciento de las compañías encontraron este problema. 6. Finalmente, el 9 por ciento de las compañías experimentó un
mayor riesgo debido a la naturaleza de su empresa. Esto a su vez podría haber llevado a una tendencia de ubicar los recursos TI en un mayor riesgo.
Elementos de la Gestión de Riesgos La función de la gestión de riesgo del software es identificar, estudiar y eliminar las fuentes de riesgo antes de que empiecen a amenazar la finalización satisfactoria de un proyecto software.
Niveles de Gestión de Riesgo 1.- Control de crisis.
2.- Arreglar cada error.
3.- Mitigación de riesgo.
4.- Prevención.
5.- Eliminación de las causas principales.
Estimulación de Riesgo
La identificación de riesgo genera una lista de riesgos capaces de romper la planificación del proyecto. El análisis de riesgo mide la probabilidad y el impacto de cada riesgo, y los niveles de riesgo de los métodos alternativos. La asignación de prioridades a los riesgos genera una lista de riesgos ordenados por su impacto. Esta lista sirve como base
para el control de riesgo.
Control de Riesgo La planificación de la gestión de riesgos genera un plan para tratar cada riesgo significativo. La resolución de riesgos es la ejecución del plan para resolver cada uno de los riesgos significativos. La monitorización de riesgos es la actividad del proceso de la monitorización dirigido a la resolución de cada elemento de riesgo.
Riesgos más Comunes en Planificación 1.
Cambio de requisitos.
2.
Meticulosidad en requerimientos o desarrolladores.
3.
Escatimar en la calidad.
4.
Planificaciones demasiado optimistas.
5.
Diseño inadecuado.
6.
Síndrome de la panacea.
7.
Desarrollo orientado a la investigación.
8.
Personal mediocre.
9.
Error en la concentración.
10.
Diferencias entre el personal de desarrollo y los clientes.
Análisis de Riesgo Una vez que haya identificado los riesgos de planificación de su proyecto, el paso siguiente
es analizar cada riesgo para determinar su impacto. Exposición a Riesgo La exposición a riesgo es igual a la probabilidad de pérdida no
esperada multiplicada por la magnitud de la pérdida. Por ejemplo, si piensa que la probabilidad puede ser del 25 por 100 y puede haber un retraso de cuatro semanas sobre la duración
del proyecto, la exposición al riesgo sería 25 por 100 multiplicado por cuatro semanas, es decir, una semana.
Cualquier aporte, sugerencia y/o crítica sírvase dirigirse a la dirección electrónica [email protected] ó al móvil 958757343 Todos los derechos están protegidos por la leyes nacionales de protección a la propiedad intelectual
51