• Author / Uploaded
• Cesar Dmente Conelflow

Citation preview

REVISION DE PLAN DE CONTINGENCIAS Y RECUPERACION DE DESASTRES OBJETIVOS ESPECÍFICOS:

1

Determinar la existencia de un plan de contingencia y recuperación de desastres documentados.

2

Identificar la existencia de una sede alternativa para poder evaluar las instalaciones y los diferentes medios de almacenamiento para el respaldo de la información crítica..

3

Cotejar mediante la revisión de pólizas de seguros que la cobertura contratada son las adecuadas para el equipo informático.

4

Determinar si hay procedimientos que se llevarán a cabo, que el personal tenga conocimiento y reciba capacitaciones de: cómo reaccionar en situaciones de contingencia o recuperarse de un desastre.

5

Determinar si el almacenamiento de información en sede alternativa cumple con los requerimientos físicos que permitan garantizar la seguridad e integridad de la información.

6

Comprobar la existencia de un contrato de procesamiento alternativo que garantice una respuesta inmediata hacia los desastres.

Alcance: La Evaluación consiste en la revisión del plan de contingencia y recuperación de desastres de la Cámara de Comercio e Industrias de Cortes, misma que se llevará a cabo en San Pedro Sula, Cortés, Col. Las Brisas 22 y 24 calle entre 1 y 4ta. Avenida Junior, 21101 San Pedro Sula. En la semana del __ al __ de ___________ del 2013.

Planificación: Para obtener información del plan de contingencia y recuperación de desastres de la empresa, enfocados específicamente en la protección del departamento de TI. Se recurrirá a entrevistar al gerente de TI, y se harán observaciones en las instalaciones de la empresa con el fin de corroborar la información obtenida. Detalle general de la evaluación Procedimiento de Evaluación Revisión de la evaluación de recuperación de desastres

Lugar

Actividad

Depto. de TIC

Solicitar y revisar el manual de recuperación de desastres.

Cuadro Técnica Strobe No.1

Comprobar la existencia de una sede alternativa y revisar que esta sea realmente segura.

Cuadro Técnica Strobe No.2

Revisar las pólizas de seguros contratada para el departamento de IT.

Cuadro Técnica Strobe No.3

Determinar la existencia de procedimientos a llevarse a cabo en situaciones de contingencia o desastre.

Investigar que el personal

Recursos

Cuadro Técnica Strobe No.4 Cuadro

Hecho Por

Fecha

tenga conocimiento y reciba capacitaciones de cómo reaccionar en situaciones de contingencia o desastres

Técnica Strobe No.4

Comprobar que el almacenamiento de información en sede alternativa cumpla con los requerimientos físicos que permitan garantizar la seguridad e integridad de la información.

Cuadro Técnica Strobe No.5

Solicitar el contrato de procesamiento alternativo.

Cuadro Técnica Strobe No.6

PUNTOS FOCALES. 1. Plan de contingencia y recuperación de desastres 1.1 Existencia Física 1.2 Comités 1.3 Roles y funciones 1.4 Actualización y revisión 2. Almacenamiento en sede alternativa 2.1 Acuerdos de almacenamiento en sede alternativa. 2.2 Dispositivos de almacenamiento en sede alternativa. 2.3 Revisión de los detalles técnicos de los dispositivos. 2.4 Programa para el resguardo de la Documentación. 3. Revisión de cobertura de seguros 3.1 Revisión de Documentos 3.2 Existencia 3.3 Confirmar 4. Conocer los procedimientos de recuperación por parte del personal. 4.1 Indagar formas de actuar 4.2 Capacitación a empleados 5. Determinar seguridad física en sede alternativa 5.1 Visitar instalaciones 5.2 Programas de mantenimiento 5.3 Seguridad industrial 5.4 Plan de recuperación de desastres

6. Examinar el contrato de procesamiento alternativo 6.1 Existencia del contrato 6.2 Revisión del contrato 6.2.1 Cláusulas 6.2.2 Condiciones (Derechos y Obligaciones de cada una de las partes ) 6.2.3 Vencimiento 6.2.4 Partes Involucradas que firmaron el Contrato

OBSERVACIÓN Y TÉCNICA STROBE Cuadro No. 1 Plan de contingencia Objetivo: Determinar la existencia de un plan de contingencia y recuperación de desastres documentado. Elemento Plan de contingencia y recuperación de desastres

Existencia de un plan de contingencia y recuperación de desastres:

- Planificación - Pruebas de viabilidad (simulacros) - Ejecución. Comités: - Comité de difusión, comunicaciones e informacion - Comité de salud y rescate - Comité de recoleccion y distribucion - Comité Educativo - Comité de integracion - Comité de vigilancia

Si

No

Observaciones Solo esta enfocado en el plan de emergencia inocuidad, no se toma en cuenta el area de IT

x

x

- Comité de seguridad - Comité de planificacion

Asignación de roles y funciones para los integrante en cada uno de los comités. Supervisión continua del plan de contingencia y recuperación de desastres por RRHH. Actualización y seguimiento del plan de contingencia y recuperación de desastres. Capacitaciones continuas del plan de contingencia y recuperación de desastres al personal.

Cuadro 2: Almacenamiento en sede alternativa Objetivo: Identificar la existencia de una sede alternativa para poder evaluar las instalaciones y los diferentes medios de almacenamiento para el respaldo de la información crítica. Elemento

Almacenamiento en sede alternativa

El almacenamiento está bajo total responsabilidad de EMPACON El almacenamiento corresponde a un servicio contratado Medios de almacenamiento: Actualizados y conectados de forma sincronizada: - Velocidad de procesamiento - Año de fabricación - Tiempo de uso - Ultima actualización de

Si

No

x x

Observaciones

software - Ultima actualización de hardware - Secuencia de almacenamiento

Tipos de medios: - Discos duros

(IDE/SATA)

- Memorias Flash

x x

- Cintas - Cassettes - Discos compactos - Almacenamiento en linea - Diskettes 3.5 Respaldo de información: -actualizada y sincronizada (Aplicaciones y el software del sistema)

Cuadro 3: Revisión de cobertura de seguros Objetivo: Cotejar mediante la revisión de pólizas de seguros que la cobertura contratada

son las adecuadas para el equipo informático. Elemento

REVISIÓN DE COBERTURA DE SEGURO

Constatar la existencia de documentos que involucren al departamento legal y departamento informático. Revisar fechas de inicio y caducidad en los acuerdos de las pólizas de seguro. Confirmar que todo el equipo informático e

Si

No

Observacione s

información asegurada estén actualizada y reflejada en las pólizas de seguro. (Equipos nuevo, otros ) Verificar que áreas cubre el seguro

- Ambiente. - Equipo. - Programas y datos. - Interrupción Comercial y su recuperación. - Responsabilidades a terceras personas. Cuadro No.4 Procedimientos de recuperación por parte del personal

Objetivo: Determinar si hay procedimientos que se llevarán a cabo, que el personal tenga conocimiento y reciba capacitaciones de: cómo reaccionar en situaciones de contingencia o recuperarse de un desastre.

ELEMENTO Procedimientos de recuperación por parte del personal

Hay procedimientos para reaccionar ante una contingencia o desastre

El personal tiene conocimientos de estos procedimientos Los procedimientos son actualizados periódicamente Recibe capacitaciones el personal sobre los procedimientos Existen equipos de personas encargadas de dirigir las actividades en una contingencia Se realizan simulacros de

SI

NO

OBSERVACIONES

contingencia o desastre

Cuadro No. 5 Seguridad física en sede alternativa Objetivo Determinar si el almacenamiento de información en sede alternativa cumple con los requerimientos físicos que permitan garantizar la seguridad e integridad de la información. ELEMENTO

Seguridad física en sede alternativa

Si

No

OBSERVACIONES

Las instalaciones de la sede alterna son completamente seguras

Existe un programa de mantenimiento en el centro de procesamiento alterno Tiene la sede alternativa un plan de seguridad industrial basado en OSHA Existe en la sede alternativa un plan de recuperación de desastres

Cuadro No.6 Revisión del Contrato de Procesamiento Alternativo Objetivo: Comprobar la existencia de un contrato de procesamiento alternativo que garantice una respuesta inmediata hacia los desastres. Elemento

Revisión de Contrato Procesamiento Alternativo

Contrato:

- Cláusulas en el contrato: -Revisadas y autenticadas por un abogado - Realizadas por un supervisor y persona certificada en el área.

S i

No

Observacion es

- Obligaciones de las Partes - Prohibiciones - Garantías - Cumplimiento e Incumplimiento Seguros: Las Pólizas de Seguros se renueva de manera automática antes de la fecha de vencimiento.

Procedimientos de recuperación por parte del personal en caso de no existir Plan de contingencias ¿Ha ocurrido algún evento en la empresa que ponga en peligro la estructura física de las instalaciones, el equipo informático y/o la salud de los empleados? De que manera se reaccionó en el momento que se presentó este evento? Hay algún equipo de personas a cargo de dirigir a los demás empleados en estas circunstancias? Se realiza algún tipo de simulacros, como contra incendios, terremotos, etc? Se imparten charlas o capacitaciones, del uso de equipos contra incendio o herramientas usadas en desastres? Durante las tormentas eléctricas, cuales son los pasos preventivos que el personal de la empresa realiza para proteger los equipos de computo? En caso de presentarse un temblor o un terremoto qué medidas se ponen en práctica para asegurar el personal, y el equipo?

¿De qué manera logran evaluar la magnitud del daño en caso de un contingencia?

Preguntas Plan de Recuperación de Desastres Tienen establecida una jerarquía que clasifique la información de acuerdo a su grado de importancia Realizan copias de seguridad de información crítica y con qué frecuencia se llevan a cabo Ejecutan pruebas de la copias de seguridad para asegurar su funcionalidad Qué métodos utilizan para recuperar el sistema operativo de las caídas Cuanto tiempo es necesario para recuperar el sistema operativo en caso de una caída Qué acciones emprenden cuando se presentan fallas en las aplicaciones En el caso que se presente una falla en el hardware, cuentan con un inventario de repuestos en caso que necesite reemplazo. Qué alternativa utilizan para continuar con el desarrollo de actividades en caso que surja una suspensión eléctrica sin previo aviso Que sucede con el equipo de cómputo si la climatización en el ambiente no es la adecuada

4. Anexos Revisión de Recuperación de Desastres.