• Author / Uploaded
• Jesús Mendoza Huillca

Citation preview

Seminario de Auditoria de Sistemas “PLAN DE CONTINUIDAD DEL NEGOCIO”

INTRODUCCIÓN 

La dinámica de los cambios en los negocios, hace que el riesgo sea

constante. 

El riesgo puede darse de diversas formas.



Gerentes, organización o el negocio en su integridad tiene que ser más proactivo en administrar el riesgo.



Problema

Determinar

el

universo

aplicable

del

riesgo,

identificando los más probables que afecten a las tecnologías de procesamiento de información.



Formular estrategias y tácticas para minimizar el riesgo y use la información como un vehículo de control en la continuidad de las operaciones del negocio.



Los riesgos tendran que ser identificados y administrados a fin de asegurar la continuidad de las operaciones.



Las organizaciones de todo tamaño están identificando más actividades dependientes de TI. Donde una organización deberá empezar su búsqueda para identificar el riesgo inherente a su negocio en particular y a su ambiente de TI?

EL PLAN DE CONTINUIDAD DEL NEGOCIO 

El método más efectivo para identificar y administrar el riesgo es a

través del desarrollo e implementación de un Plan de Continuidad del Negocio(PCN). 

El PCN, es un documento guía que permite al equipo ejecutivo, la continuidad de las operaciones, ya que la tasa ha sido reducida,

cuando un riesgo se manifiesta mediante un evento destructivo como: inundación, terremoto, pérdida de energía o virus informático.



Un PCN, es en efecto un plan de negocios para operar un proceso o función bajo condiciones extremadamente de stress y de tiempo limitado.



Principal propósito de un PCN, asegurar la continuidad de las operaciones del negocio.



Objetivo secundario cuantificar y cualificar la estructura de recursos necesarios para apoyar los compromisos operacionales requeridos.



Un PCN, intenta limitar las pérdidas tangibles y no tangibles asociados con destrucción o desastre a través de una serie de procedimientos diseñados a manejar las operaciones criticas

durante una situación de emergencia.

EL DILEMA DE LA AUDITORÍA DEL PCN 



Para la auditoría de un PCN, existen tres resultados probables: 1.

El plan reune las expectativas,

2.

El plan no reune las expectativas, o

3.

No existe un plan.

El dilema es: donde el auditor empieza su proceso de revisión y

como esta determinado así como la viabilidad o aplicabilidad del plan?





El ciclo de vida de un PCN típicamente tiene cuatro secciones: 1.

Evaluación del riesgo,

2.

Determinación de alternativas de recuperación,

3.

Implementación del plan de recuperación, y

4.

Validación del plan de recuperación.

Dentro de cada una de estas secciones del ciclo de vida, la fijación de recursos aplicables son manipulados para proveer a la organización con la mejor mezcla de recursos críticos y con un costo óptimo y un mínimo de pérdidas tangibles e intangibles.



Estos recursos pueden ser dados dentro de los siguientes componentes: 1.

Información,

2.

Tecnología,

3.

Telecomunicaciones,

4.

Procesos,

5.

Personas, e

6.

Instalaciones.



Antes de evaluar un PCN y determinar su aplicabilidad y viabilidad, un auditor deberá responder algunas preguntas: Existe personal y un comité para los procesos del PCN?

1.

•

Formal, existe plan escrito.

•

Existe comité administrativo que revise el desarrollo, implementación y mantenimiento de un PCN.

•

2.

El periodo de reunión de la junta cubre el PCN. Cuál es el nivel de compromiso de los diversos departamentos en preparar el plan?

•

Cada

departamento

tiene

al

menos

un

representante(manufactura, contabilidad, legal, auditoria interna/externa,

planilla,

recursos

departamentos

funcionalmente

humanos, específicos

y de

otros la

organización). •

El personal en cada departamento conoce que existe un plan y entiende de cómo se implementa el plan.

EVALUACION DEL RIESGO  Primero entender el comienzo racional del ciclo de vida PCN antes que cualquier actividad de la auditoria pueda empezar. I.

La fase de evaluación del riesgo

 Empieza con los procesos del PCN y compromete:

•

Identificación y documentación de los riesgos TI y de la organización;

•

Evaluar las funciones críticas del negocio necesarias para continuar las operaciones;

•

Definir los controles que están dadas para reducir la

exposición;

•

Determinar la necesidad de controles adicionales; y

•

Evaluar los costos para todos los controles.

 Adicionalmente, las entidades del negocio como usan y son apoyados por TI a fin de determinar su nivel de dependencia TI.  De este modo, puede ser determinado los conductores de las

aplicaciones de las entidades críticas y procesos del negocio, permitiéndonos visualizar aquellas aplicaciones y HW-TI que podría apoyar a la organización en general en una situación de emergencia.

 Finalmente,

el

examen

ayuda

en

la

cuantificación

y

calificación de los impactos tangibles e intangibles sobre las perdidas TI de la organización.  Como resultado directo de institucionalizar un plan

de

recuperación

completamente

desarrollado, la administración conocerá donde residen todos sus recursos y como interactúan

para que la empresa siga funcionando.

II.

La segunda fase del ciclo de vida del PCN:

Determinación de la Alternativas de Recuperación Toma el informe de la primera fase y desarrolla las estrategias de recuperación y las tácticas correspondientes comprobable y las limitaciones del tiempo.

basadas en el costo

 En esencia, la relación es desarrollada entre la cantidad anticipada de recursos financieros a ser gastados para la recuperación de la organización y sus componentes TI sobre un

periodo dado y la cantidad proyectada de ingresos perdidos y costos incurridos como resultado del desastre.  En la figura siguiente, se puede apreciar que la recuperación de los recursos TI inmediatamente después de un evento interrumpido será significativamente más costoso que esperar

que el tiempo pase.

 Sin

embargo

la

estrategia

óptima

de

recuperación,

financieramente hablando, podría no encontrarse en la intersección de las líneas de “Impacto” y “Costo a Recuperar”.

 El movimiento a lo largo de la línea del “Costo a Recuperar” podría verse influenciada por intereses intangibles tales como

reducción del servicio al cliente, o pérdida de ventaja competitiva debido a eso se acorta o prolonga la ventana de recuperación requerida como corresponde.

 Para entender y evaluar la fase de evaluación de riesgo de los procesos de un PCN, el auditor deberá empezar con las siguientes preguntas:

a) Se cuenta con un análisis de evaluación/impacto y ha sido ejecutado y documentado por cada departamento? b) Tiene cada departamento considerado diferentes tipos de riesgos/incidentes

y

su

correspondiente

impacto

y

recuperación sobre cada departamento y la organización en general?

•

Falla eléctrica,

•

Inundación,

•

Incendio,

•

Error humano,

•

Fallas del sistema,

•

Accidente químico,

•

Motines, y

•

Salidas de empleados.

c) El análisis del riesgo evaluación/impacto, evalúa el efecto

sobre

la

confidencia

condición de

financiera, los

posición

clientes,

competitiva,

requerimientos

legales/regulatorios?

d) La administración entiende y tiene aprobado los resultados del estudio de evaluación del riesgo? •

Los resultados del estudio son realistas considerando la naturaleza del producto y del negocio.

•

Auditoría interna ha ejecutado una evaluación exacta de

la calidad de los procesos de evaluación del riesgo.

 Una vez que los riesgos han sido identificados y el planeamiento ha sido basado sobre estos riesgos, estrategias continuas deberán ser consideradas para el mejoramiento de

las estrategias existentes.  Estrategias de riesgos son establecidas para asistir a la organización en dos vías: 1. Estar mejor preparado, ya que de acuerdo al conocimiento obtenido se puedan preparar las estrategias. 2. Minimizar el impacto de un desastre.

 Elementos de la estrategia que pueden ser un enfoque para la revisión del auditor y la que determinará si es aplicable a cada unidad de negocios:

a) Asegurarse,

que

se

haya

identificado

información,

archivos, documentos, material crítico; así como el

personal clave. b) Asegurarse, que los procesos de backup sean completos y

ejecutados regularmente y que los backup de datos sean probados.

c) Mantenimiento mínimo de recuperación de provisiones de materiales del negocio, tales como revisión de stock, formatos críticos y también para los que están fuera de localización. d) Acuerdos para usos de UPS(suministro de energíainterrupciones) para todos los sistemas de datos, voz con

la apropiada cantidad de tiempo de backup. e) Acuerdos de servicios con proveedores claves que definen tiempo de respuestas para reemplazar equipos y/o servicios. f)

Implementación apropiada de sistemas/equipos.

g) Acuerdos para uso apropiado de sistemas de backup de energía, tales como generadores y pruebas de éstos sobres una base regular. h) Proveer protección a procesadores pequeños, tales como servidores de departamentos y PC. i)

Asegurarse de que existan apropiados detectores y

eliminadores de incendios en todas las áreas. j)

Implementación de políticas y procedimientos para todo material peligroso.

k) Instalación apropiada de programas anti-virus a fin de prevenir, detectar y corregir.

l)

Implementación de políticas que cubra la conectividad externa, tales como prácticas de Internet.

m) Políticas desarrolladas para la apropiada implantación y

uso de passwords. n) Políticas desarrolladas y políticas de seguridad de información que cubra violaciones de copias. •

Uso de SW sobre computadoras de la compañía.

•

Apropiada protección para datos transmitidos, incluye autenticación y encriptación.

•

Apropiadas políticas de clasificación de datos.

•

Prácticas de revelaciones de información.

•

Apropiado filtro de datos, a fin de disponer de disponer de dispositivos de almacenamiento y/o cintas.

o) Políticas de viajes de ejecutivos (por ejemplo: número de

ejecutivos claves/total personal) que viajan juntos. p) Obtener un nivel apropiado de seguro, tales como interrupciones del negocio, reemplazo, costo extras, código de cumplimiento y procesamiento de datos.

ESTRATEGIAS DE RECUPERACIÓN Las estrategias de recuperación pueden estar ubicados, sobre tres posibles escenarios: 1. Una estrategia de recuperación predeterminada asume que se puede obtener un recurso dado desde una fuente dada en un muy corto tiempo sin la ayuda de un compromiso

contractual obligatorio. 2. Una estrategia de recuperación predispuesta modifica una estrategia predeterminada con un contrato por escrito que

describe las condiciones para la estrategia predeterminada y que especifica las condiciones para la realización y uso de una estrategia.

3. Una estrategia de recuperación redundante describe la seguridad de un duplicado exacto de un componente dado de manera que el soporte (backup) y la restauración puede ser inmediato e idéntico al sistema puesto que se ha producido antes del incidente de interrupción.

Entender las estrategias de recuperación empleadas

por una organización involucra:  Revisar las estrategias de recuperación para cada aplicación y

evaluación de factibilidad de estas estrategias.  Evaluar el nivel de dependencia en TI y otros recursos.  La dependencia es real y representa las necesidades y capacidades de la organización.  Los requerimientos para la recuperación se basan en la exposición razonada y documentada de las funciones empresariales vitales identificadas durante la fase de evaluación del riesgo.

IMPLEMENTACIÓN DEL PLAN DE CONTINUIDAD III.

La tercera fase del ciclo de vida del PCN

Implementación del Plan de Continuidad, toma la información

de la primera fase del proceso de BCP y crea los principios básicos

para

el

desarrollo

y

mantenimiento

documento real del plan de recuperación.

Según recientes estudios, la mayoría de los planes de recuperación no son más que “listas de los porqué” (call lists) de la

emergencia. Las listas de los porqué son importantes, pero solo son una pequeña parte del plan.

continuo

del

La administración de los procedimientos actuales de control de cambio, demanda una revisión de la prueba más reciente en su integridad del plan de recuperación.

Identificación

de

los

individuos

responsables del mantenimiento en las diferentes secciones del plan de recuperación, y el ritmo apropiado de los ciclos periódicos de revisión del plan.

Un plan de continuidad empresarial es un documento propicio para el usuario. Un individuo que podría estar no muy familiarizado con el proceso empresarial

puede leerlo

realizar una función

empresarial de una manera razonable. El plan podría incluir las siguientes categorías e items (Pero no se encuentran limitados a ellos) 1. Información general, 2. Procedimientos administrativos, 3. Procedimientos de la continuidad operacional,

4. Procedimientos de recuperación de los sistemas de información, y 5. Planes para reasumir la aplicación.

Una completa evaluación de la calidad de un PCN incluye la

determinación de lo siguiente: •

El plan integra de manera exitosa los requerimientos de procesamiento de la información con los requerimientos actuales del negocio?

•

Existen procedimientos para las actividades manuales?

•

Es actual la lista llamadas para notificar/escala?

•

Todos los recursos críticos han sido identificados según su función?

•

Han

sido identificados debidamente

recuperación?

los equipos de

•

Son las responsabilidades y actividades de los equipos de

recuperación totalmente delineadas? •

Son identificadas y priorizadas las aplicaciones y funciones críticas?

•

Son identificados los requerimientos de los proveedores y existe contratos formales con éstos outsourcing?

•

Cualquiera de los anteriormente identificado tiene autoridad durante una recuperación?

•

Existe un “plan dentro del plan” para restaurar las operaciones en la casa principal?

•

El plan refleja el modo actual de hacer los negocios?

•

Son los sistemas de procedimientos de restauración parte del plan?

•

Están los procedimientos de recuperación basados sobre los eventos de causas o alcance del daño?

•

Están identificados los procedimientos para notificar al lugar y declarar un desastre?

•

Existe al menos una copia del plan, mantenido en una localización fuera de la empresa?

RATIFICACIÓN DEL PLAN DE CONTINUIDAD IV.

La cuarta y última fase del ciclo de vida del BCP:

Ratificación del Plan de Continuidad

Involucra la capacitación y prueba relacionada con la verificación y ratificación de la habilidad de la organización para recuperar las actividades interrumpidas de TI.

El auditor debe investigar si los tres grupos aplicables de empleados (equipos de recuperación, Administración TI, y otros empleados involucrados) han sido capacitados completamente en sus respectivas responsabilidades durante una situación de desastre o emergencia.

Un plan de recuperación se evalúa según sus principios básicos regulares para ver su viabilidad. Una revisión de los resultados de la prueba de recuperación asegura que la prueba haya sido completa y simule un desastre real. Cada departamento debe

recibir el nivel apropiado de capacitación para una

recuperación.

HALLAZGOS REPRESENTATIVOS Se completó un estudio en las que 23 compañías fueron auditadas a fin de determinar qué riesgos eran los más prevalecientes dentro del

entorno del centro de datos. Hubieron 256 hallazgos en total generados de esta auditoría. Como se muestra en la figura siguiente, todos estos hallazgos

podrían ser agrupados en siete categorías de riesgos principales: energía

eléctrica,

compañía,

seguridad,

arquitectura

física,

documentación, arquitectura del sistema, almacenamiento de

medios, y perfil alto.

1. La primera categoría de riesgo, problemas con el suministro eléctrico, fue experimentada en el 57 por ciento de las compañías. 2. El riesgo de la seguridad de la compañía fue una recolección de la seguridad física, intervención humana, y problemas comunes y abarcó el 35% de todos los incidentes de riesgo en la muestra. 3. El riego de arquitectura física agrupa los peligros de fuego, ubicación de la instalación, arquitectura de la instalación, y tendencia a los daños por inundación y abarca el 12 por ciento de todos los incidentes de riesgo. 4. El riesgo más grande es la falta de una buena documentación y proceso del sistema. En general, el 27 por ciento de todos los incidentes de riesgo abarcaron este problema.

5. A pesar que solo el 6 por ciento de los incidentes de riesgo apuntaron al riesgo de la arquitectura del sistema, el 48 por ciento de las compañías encontraron este problema. 6. Finalmente, el 9 por ciento de las compañías experimentó un

mayor riesgo debido a la naturaleza de su empresa. Esto a su vez podría haber llevado a una tendencia de ubicar los recursos TI en un mayor riesgo.

Elementos de la Gestión de Riesgos La función de la gestión de riesgo del software es identificar, estudiar y eliminar las fuentes de riesgo antes de que empiecen a amenazar la finalización satisfactoria de un proyecto software.

Niveles de Gestión de Riesgo 1.- Control de crisis.

2.- Arreglar cada error.

3.- Mitigación de riesgo.

4.- Prevención.

5.- Eliminación de las causas principales.

Estimulación de Riesgo

 La identificación de riesgo genera una lista de riesgos capaces de romper la planificación del proyecto.  El análisis de riesgo mide la probabilidad y el impacto de cada riesgo, y los niveles de riesgo de los métodos alternativos.  La asignación de prioridades a los riesgos genera una lista de riesgos ordenados por su impacto. Esta lista sirve como base

para el control de riesgo.

Control de Riesgo  La planificación de la gestión de riesgos genera un plan para tratar cada riesgo significativo.  La resolución de riesgos es la ejecución del plan para resolver cada uno de los riesgos significativos.  La monitorización de riesgos es la actividad del proceso de la monitorización dirigido a la resolución de cada elemento de riesgo.

Riesgos más Comunes en Planificación 1.

Cambio de requisitos.

2.

Meticulosidad en requerimientos o desarrolladores.

3.

Escatimar en la calidad.

4.

Planificaciones demasiado optimistas.

5.

Diseño inadecuado.

6.

Síndrome de la panacea.

7.

Desarrollo orientado a la investigación.

8.

Personal mediocre.

9.

Error en la concentración.

10.

Diferencias entre el personal de desarrollo y los clientes.

Análisis de Riesgo Una vez que haya identificado los riesgos de planificación de su proyecto, el paso siguiente

es analizar cada riesgo para determinar su impacto. Exposición a Riesgo La exposición a riesgo es igual a la probabilidad de pérdida no

esperada multiplicada por la magnitud de la pérdida. Por ejemplo, si piensa que la probabilidad puede ser del 25 por 100 y puede haber un retraso de cuatro semanas sobre la duración

del proyecto, la exposición al riesgo sería 25 por 100 multiplicado por cuatro semanas, es decir, una semana.

Cualquier aporte, sugerencia y/o crítica sírvase dirigirse a la dirección electrónica [email protected] ó al móvil 958757343 Todos los derechos están protegidos por la leyes nacionales de protección a la propiedad intelectual

51