Download - Plan de Continuidad Del Negocio
-
Seminario de Auditoria de
Sistemas
PLAN DE CONTINUIDAD DEL
NEGOCIO
-
INTRODUCCIN
La dinmica de los cambios en los negocios, hace que el riesgo sea
constante.
El riesgo puede darse de diversas formas.
Gerentes, organizacin o el negocio en su integridad tiene que ser
ms proactivo en administrar el riesgo.
Problema Determinar el universo aplicable del riesgo,
identificando los ms probables que afecten a las tecnologas de
procesamiento de informacin.
-
Formular estrategias y tcticas para minimizar el riesgo y use la
informacin como un vehculo de control en la continuidad de las
operaciones del negocio.
Los riesgos tendran que ser identificados y administrados a fin de
asegurar la continuidad de las operaciones.
Las organizaciones de todo tamao estn identificando ms
actividades dependientes de TI.
Donde una organizacin deber empezar su bsqueda para
identificar el riesgo inherente a su negocio en particular y a su
ambiente de TI?
-
EL PLAN DE CONTINUIDAD DEL NEGOCIO
El mtodo ms efectivo para identificar y administrar el riesgo es a
travs del desarrollo e implementacin de un Plan de Continuidad
del Negocio(PCN).
El PCN, es un documento gua que permite al equipo ejecutivo, la
continuidad de las operaciones, ya que la tasa ha sido reducida,
cuando un riesgo se manifiesta mediante un evento destructivo
como: inundacin, terremoto, prdida de energa o virus informtico.
-
Un PCN, es en efecto un plan de negocios para operar un proceso o
funcin bajo condiciones extremadamente de stress y de tiempo
limitado.
Principal propsito de un PCN, asegurar la continuidad de las
operaciones del negocio.
Objetivo secundario cuantificar y cualificar la estructura de recursos
necesarios para apoyar los compromisos operacionales requeridos.
-
Un PCN, intenta limitar las prdidas tangibles y no tangibles
asociados con destruccin o desastre a travs de una serie de
procedimientos diseados a manejar las operaciones criticas
durante una situacin de emergencia.
-
EL DILEMA DE LA AUDITORA DEL PCN
Para la auditora de un PCN, existen tres resultados probables:
1. El plan reune las expectativas,
2. El plan no reune las expectativas, o
3. No existe un plan.
El dilema es: donde el auditor empieza su proceso de revisin y
como esta determinado as como la viabilidad o aplicabilidad del
plan?
-
El ciclo de vida de un PCN tpicamente tiene cuatro secciones:
1. Evaluacin del riesgo,
2. Determinacin de alternativas de recuperacin,
3. Implementacin del plan de recuperacin, y
4. Validacin del plan de recuperacin.
Dentro de cada una de estas secciones del ciclo de vida, la fijacin
de recursos aplicables son manipulados para proveer a la
organizacin con la mejor mezcla de recursos crticos y con un costo
ptimo y un mnimo de prdidas tangibles e intangibles.
-
Estos recursos pueden ser dados dentro de los siguientes
componentes:
1. Informacin,
2. Tecnologa,
3. Telecomunicaciones,
4. Procesos,
5. Personas, e
6. Instalaciones.
-
Antes de evaluar un PCN y determinar su aplicabilidad y viabilidad,
un auditor deber responder algunas preguntas:
1. Existe personal y un comit para los procesos del PCN?
Formal, existe plan escrito.
Existe comit administrativo que revise el desarrollo,
implementacin y mantenimiento de un PCN.
El periodo de reunin de la junta cubre el PCN.
2. Cul es el nivel de compromiso de los diversos departamentos
en preparar el plan?
-
Cada departamento tiene al menos un
representante(manufactura, contabilidad, legal, auditoria
interna/externa, planilla, recursos humanos, y otros
departamentos funcionalmente especficos de la
organizacin).
El personal en cada departamento conoce que existe un
plan y entiende de cmo se implementa el plan.
-
EVALUACION DEL RIESGO
Primero entender el comienzo racional del ciclo de vida PCN
antes que cualquier actividad de la auditoria pueda empezar.
I. La fase de evaluacin del riesgo
Empieza con los procesos del PCN y compromete:
Identificacin y documentacin de los riesgos TI y de la
organizacin;
Evaluar las funciones crticas del negocio necesarias para
continuar las operaciones;
Definir los controles que estn dadas para reducir la
exposicin;
-
Determinar la necesidad de controles adicionales; y
Evaluar los costos para todos los controles.
Adicionalmente, las entidades del negocio como usan y son
apoyados por TI a fin de determinar su nivel de dependencia TI.
De este modo, puede ser determinado los conductores de las
aplicaciones de las entidades crticas y procesos del negocio,
permitindonos visualizar aquellas aplicaciones y HW-TI que
podra apoyar a la organizacin en general en una situacin de
emergencia.
-
Finalmente, el examen ayuda en la cuantificacin y
calificacin de los impactos tangibles e intangibles sobre las
perdidas TI de la organizacin.
Como resultado directo de institucionalizar un
plan de recuperacin completamente
desarrollado, la administracin conocer donde
residen todos sus recursos y como interactan
para que la empresa siga funcionando.
-
II. La segunda fase del ciclo de vida del PCN:
Determinacin de la Alternativas de Recuperacin
Toma el informe de la primera fase y desarrolla las estrategias de
recuperacin y las tcticas correspondientes basadas en el costo
comprobable y las limitaciones del tiempo.
-
En esencia, la relacin es desarrollada entre la cantidad
anticipada de recursos financieros a ser gastados para la
recuperacin de la organizacin y sus componentes TI sobre un
periodo dado y la cantidad proyectada de ingresos perdidos y
costos incurridos como resultado del desastre.
En la figura siguiente, se puede apreciar que la recuperacin de
los recursos TI inmediatamente despus de un evento
interrumpido ser significativamente ms costoso que esperar
que el tiempo pase.
-
Sin embargo la estrategia ptima de recuperacin,
financieramente hablando, podra no encontrarse en la
interseccin de las lneas de Impacto y Costo a Recuperar.
El movimiento a lo largo de la lnea del Costo a Recuperar
podra verse influenciada por intereses intangibles tales como
reduccin del servicio al cliente, o prdida de ventaja
competitiva debido a eso se acorta o prolonga la ventana de
recuperacin requerida como corresponde.
-
Para entender y evaluar la fase de evaluacin de riesgo de los
procesos de un PCN, el auditor deber empezar con las
siguientes preguntas:
a) Se cuenta con un anlisis de evaluacin/impacto y ha sido
ejecutado y documentado por cada departamento?
b) Tiene cada departamento considerado diferentes tipos de
riesgos/incidentes y su correspondiente impacto y
recuperacin sobre cada departamento y la organizacin
en general?
-
Falla elctrica,
Inundacin,
Incendio,
Error humano,
Fallas del sistema,
Accidente qumico,
Motines, y
Salidas de empleados.
-
c) El anlisis del riesgo evaluacin/impacto, evala el efecto
sobre la condicin financiera, posicin competitiva,
confidencia de los clientes, requerimientos
legales/regulatorios?
d) La administracin entiende y tiene aprobado los resultados
del estudio de evaluacin del riesgo?
Los resultados del estudio son realistas considerando la
naturaleza del producto y del negocio.
Auditora interna ha ejecutado una evaluacin exacta de
la calidad de los procesos de evaluacin del riesgo.
-
Una vez que los riesgos han sido identificados y el
planeamiento ha sido basado sobre estos riesgos, estrategias
continuas debern ser consideradas para el mejoramiento de
las estrategias existentes.
Estrategias de riesgos son establecidas para asistir a la
organizacin en dos vas:
1. Estar mejor preparado, ya que de acuerdo al conocimiento
obtenido se puedan preparar las estrategias.
2. Minimizar el impacto de un desastre.
-
Elementos de la estrategia que pueden ser un enfoque para la
revisin del auditor y la que determinar si es aplicable a cada
unidad de negocios:
a) Asegurarse, que se haya identificado informacin,
archivos, documentos, material crtico; as como el
personal clave.
b) Asegurarse, que los procesos de backup sean completos y
ejecutados regularmente y que los backup de datos sean
probados.
-
c) Mantenimiento mnimo de recuperacin de provisiones de
materiales del negocio, tales como revisin de stock,
formatos crticos y tambin para los que estn fuera de
localizacin.
d) Acuerdos para usos de UPS(suministro de energa-
interrupciones) para todos los sistemas de datos, voz con
la apropiada cantidad de tiempo de backup.
e) Acuerdos de servicios con proveedores claves que definen
tiempo de respuestas para reemplazar equipos y/o
servicios.
f) Implementacin apropiada de sistemas/equipos.
-
g) Acuerdos para uso apropiado de sistemas de backup de
energa, tales como generadores y pruebas de stos
sobres una base regular.
h) Proveer proteccin a procesadores pequeos, tales como
servidores de departamentos y PC.
i) Asegurarse de que existan apropiados detectores y
eliminadores de incendios en todas las reas.
j) Implementacin de polticas y procedimientos para todo
material peligroso.
k) Instalacin apropiada de programas anti-virus a fin de
prevenir, detectar y corregir.
-
l) Implementacin de polticas que cubra la conectividad
externa, tales como prcticas de Internet.
m) Polticas desarrolladas para la apropiada implantacin y
uso de passwords.
n) Polticas desarrolladas y polticas de seguridad de
informacin que cubra violaciones de copias.
Uso de SW sobre computadoras de la compaa.
Apropiada proteccin para datos transmitidos, incluye
autenticacin y encriptacin.
-
Apropiadas polticas de clasificacin de datos.
Prcticas de revelaciones de informacin.
Apropiado filtro de datos, a fin de disponer de disponer
de dispositivos de almacenamiento y/o cintas.
o) Polticas de viajes de ejecutivos (por ejemplo: nmero de
ejecutivos claves/total personal) que viajan juntos.
p) Obtener un nivel apropiado de seguro, tales como
interrupciones del negocio, reemplazo, costo extras, cdigo
de cumplimiento y procesamiento de datos.
-
ESTRATEGIAS DE RECUPERACIN
Las estrategias de recuperacin pueden estar ubicados, sobre tres
posibles escenarios:
1. Una estrategia de recuperacin predeterminada asume que
se puede obtener un recurso dado desde una fuente dada en
un muy corto tiempo sin la ayuda de un compromiso
contractual obligatorio.
2. Una estrategia de recuperacin predispuesta modifica una
estrategia predeterminada con un contrato por escrito que
describe las condiciones para la estrategia predeterminada y
que especifica las condiciones para la realizacin y uso de una
estrategia.
-
3. Una estrategia de recuperacin redundante describe la
seguridad de un duplicado exacto de un componente dado de
manera que el soporte (backup) y la restauracin puede ser
inmediato e idntico al sistema puesto que se ha producido
antes del incidente de interrupcin.
-
Entender las estrategias de recuperacin empleadas
por una organizacin involucra:
Revisar las estrategias de recuperacin para cada aplicacin y
evaluacin de factibilidad de estas estrategias.
Evaluar el nivel de dependencia en TI y otros recursos.
La dependencia es real y representa las necesidades y
capacidades de la organizacin.
Los requerimientos para la recuperacin se basan en la exposicin
razonada y documentada de las funciones empresariales vitales
identificadas durante la fase de evaluacin del riesgo.
-
IMPLEMENTACIN DEL PLAN DE CONTINUIDAD
III. La tercera fase del ciclo de vida del PCN
Implementacin del Plan de Continuidad, toma la informacin
de la primera fase del proceso de BCP y crea los principios
bsicos para el desarrollo y mantenimiento continuo del
documento real del plan de recuperacin.
Segn recientes estudios, la mayora de
los planes de recuperacin no son ms
que listas de los porqu (call lists) de la
emergencia. Las listas de los porqu son
importantes, pero solo son una pequea
parte del plan.
-
La administracin de los procedimientos actuales de control de
cambio, demanda una revisin de la prueba ms reciente en su
integridad del plan de recuperacin.
Identificacin de los individuos
responsables del mantenimiento en
las diferentes secciones del plan de
recuperacin, y el ritmo apropiado de
los ciclos peridicos de revisin del
plan.
-
Un plan de continuidad empresarial es un documento propicio para
el usuario. Un individuo que podra estar no muy familiarizado con
el proceso empresarial puede leerlo realizar una funcin
empresarial de una manera razonable. El plan podra incluir las
siguientes categoras e items (Pero no se encuentran limitados a
ellos)
1. Informacin general,
2. Procedimientos administrativos,
3. Procedimientos de la continuidad operacional,
4. Procedimientos de recuperacin de los sistemas de
informacin, y
5. Planes para reasumir la aplicacin.
-
Una completa evaluacin de la calidad de un PCN incluye la
determinacin de lo siguiente:
El plan integra de manera exitosa los requerimientos de
procesamiento de la informacin con los requerimientos
actuales del negocio?
Existen procedimientos para las actividades manuales?
Es actual la lista llamadas para notificar/escala?
Todos los recursos crticos han sido identificados segn su
funcin?
Han sido identificados debidamente los equipos de
recuperacin?
-
Son las responsabilidades y actividades de los equipos de
recuperacin totalmente delineadas?
Son identificadas y priorizadas las aplicaciones y funciones
crticas?
Son identificados los requerimientos de los proveedores y
existe contratos formales con stos outsourcing?
Cualquiera de los anteriormente identificado tiene autoridad
durante una recuperacin?
Existe un plan dentro del plan para restaurar las operaciones
en la casa principal?
El plan refleja el modo actual de hacer los negocios?
-
Son los sistemas de procedimientos de restauracin parte del
plan?
Estn los procedimientos de recuperacin basados sobre los
eventos de causas o alcance del dao?
Estn identificados los procedimientos para notificar al lugar y
declarar un desastre?
Existe al menos una copia del plan, mantenido en una
localizacin fuera de la empresa?
-
RATIFICACIN DEL PLAN DE CONTINUIDAD
IV. La cuarta y ltima fase del ciclo de vida del BCP:
Ratificacin del Plan de Continuidad
Involucra la capacitacin y prueba relacionada con la verificacin
y ratificacin de la habilidad de la organizacin para recuperar las
actividades interrumpidas de TI.
-
El auditor debe investigar si los tres grupos aplicables de
empleados (equipos de recuperacin, Administracin TI, y otros
empleados involucrados) han sido capacitados completamente
en sus respectivas responsabilidades durante una situacin de
desastre o emergencia.
-
Un plan de recuperacin se evala segn sus principios bsicos
regulares para ver su viabilidad. Una revisin de los resultados
de la prueba de recuperacin asegura que la prueba haya sido
completa y simule un desastre real.
Cada departamento debe
recibir el nivel apropiado de
capacitacin para una
recuperacin.
-
HALLAZGOS REPRESENTATIVOS
Se complet un estudio en las que 23 compaas fueron auditadas a
fin de determinar qu riesgos eran los ms prevalecientes dentro del
entorno del centro de datos. Hubieron 256 hallazgos en total
generados de esta auditora.
Como se muestra en la figura siguiente, todos estos hallazgos
podran ser agrupados en siete categoras de riesgos principales:
energa elctrica, compaa, seguridad, arquitectura fsica,
documentacin, arquitectura del sistema, almacenamiento de
medios, y perfil alto.
-
1. La primera categora de riesgo, problemas con el suministro
elctrico, fue experimentada en el 57 por ciento de las
compaas.
2. El riesgo de la seguridad de la compaa fue una recoleccin de
la seguridad fsica, intervencin humana, y problemas comunes y
abarc el 35% de todos los incidentes de riesgo en la
muestra.
3. El riego de arquitectura fsica agrupa los peligros de fuego,
ubicacin de la instalacin, arquitectura de la instalacin, y
tendencia a los daos por inundacin y abarca el 12 por ciento
de todos los incidentes de riesgo.
4. El riesgo ms grande es la falta de una buena documentacin y
proceso del sistema. En general, el 27 por ciento de todos los
incidentes de riesgo abarcaron este problema.
-
5. A pesar que solo el 6 por ciento de los incidentes de riesgo
apuntaron al riesgo de la arquitectura del sistema, el 48 por
ciento de las compaas encontraron este problema.
6. Finalmente, el 9 por ciento de las compaas experiment un
mayor riesgo debido a la naturaleza de su empresa. Esto a su
vez podra haber llevado a una tendencia de ubicar los recursos
TI en un mayor riesgo.
-
Elementos de la Gestin de Riesgos
La funcin de la gestin de riesgo del software es identificar,
estudiar y eliminar las fuentes de riesgo antes de que empiecen a
amenazar la finalizacin satisfactoria de un proyecto software.
-
Niveles de Gestin de
Riesgo
1.- Control de crisis.
2.- Arreglar cada error.
3.- Mitigacin de riesgo.
4.- Prevencin.
5.- Eliminacin de las causas principales.
-
Estimulacin de Riesgo
La identificacin de riesgo genera una lista de riesgos capaces
de romper la planificacin del proyecto.
El anlisis de riesgo mide la probabilidad y el impacto de cada
riesgo, y los niveles de riesgo de los mtodos alternativos.
La asignacin de prioridades a los riesgos genera una lista de
riesgos ordenados por su impacto. Esta lista sirve como base
para el control de riesgo.
-
Control de Riesgo
La planificacin de la gestin de riesgos genera un plan
para tratar cada riesgo significativo.
La resolucin de riesgos es la ejecucin del plan para
resolver cada uno de los riesgos significativos.
La monitorizacin de riesgos es la actividad del proceso de
la monitorizacin dirigido a la resolucin de cada elemento
de riesgo.
-
Riesgos ms Comunes en Planificacin
1. Cambio de requisitos.
2. Meticulosidad en requerimientos o desarrolladores.
3. Escatimar en la calidad.
4. Planificaciones demasiado optimistas.
5. Diseo inadecuado.
6. Sndrome de la panacea.
7. Desarrollo orientado a la investigacin.
8. Personal mediocre.
9. Error en la concentracin.
10. Diferencias entre el personal de desarrollo y los clientes.
-
Anlisis de Riesgo
Una vez que haya identificado los riesgos de
planificacin de su proyecto, el paso siguiente
es analizar cada riesgo para determinar su impacto.
Exposicin a Riesgo
La exposicin a riesgo es igual a la probabilidad de prdida no
esperada multiplicada por la magnitud de la prdida. Por
ejemplo, si piensa que la probabilidad puede ser del 25 por 100
y puede haber un retraso de cuatro semanas sobre la duracin
del proyecto, la exposicin al riesgo sera 25 por 100
multiplicado por cuatro semanas, es decir, una semana.
-
51
Cualquier aporte, sugerencia y/o crtica
srvase dirigirse a la direccin
electrnica [email protected]
al mvil 958757343
Todos los derechos estn protegidos por la
leyes nacionales de proteccin a la
propiedad intelectual