13/5/2014 Papel Business Continuity Planning del Auditor en la revisin de

http://translate.googleusercontent.com/translate_f 1/5
Pgina 1
Yo
NFORMACIN
S
ISTEMAS
C
ONTROL
J
Diario
, V
OLUMEN
4, 200 5
Plan de Continuidad del Negocio
Por Ravi Muthukrishnan, CISA, CISM, la FCA
"Conduce tu negocio o bien te va a conducir".
- Benjamin Franklin (1706-1790), empresario estadounidense,
estadista, cientfico y filsofo
"Es su negocio cuando la pared de al lado se prende fuego."
- Horacio (65-8 aC), poeta romano
Las dos citas ledo conjuntamente son la esencia de
planificacin de la continuidad del negocio.
Los procesos de negocio son el mecanismo de una organizacin de
la creacin y entrega de valor a sus grupos de inters. Cada vez ms,
los procesos de negocio estn siendo automatizados e integrados con
sistemas complejos y altamente eficientes. De hoy en da
empresas confan ms en TI para impulsar los procesos de negocio, y
esta dependencia creciente ha contribuido en gran medida a una mayor
la eficiencia, reducir los costos, aumentar la productividad y un enfoque en
calidad, as como la creacin de nuevas oportunidades de negocio.
La otra cara de esta dependencia de TI son los riesgos y los asociados
el tremendo impacto si los riesgos se materializaran. A
contrarrestar las amenazas asociadas con estos riesgos, las organizaciones son
evolucionando progresivamente y adaptar los planes de continuidad del negocio
(BCP) para satisfacer sus respectivas necesidades de negocio.
En los ltimos tiempos, Los auditores estn jugando un papel importante en
proporcionar supervisin de auditora para evaluar el proceso de
desarrollar, probar e implementar los pasos fronterizos. Seguridades dadas
por auditores imparte la confianza necesaria para el interior
y las partes interesadas externas que dependen de profesional independiente
verificaciones. El papel del auditor en la revisin de un BCP es tanto
ms crtica, como el objetivo principal de la BCP es para proteger
la organizacin en el caso de que la totalidad o parte de sus operaciones
servicios y / o sistemas de informacin pueda utilizarla y
para ayudar a la organizacin a recuperarse de los efectos de tales eventos.
Entender BCP
Un BCP es un proceso de recuperacin ejecutable autosostenible que
asegura la reintegracin de los procedimientos, aplicaciones, operaciones,
sistemas, redes e instalaciones que son crticos para la reanudacin de
negocio. BCP se refiere al proceso de desarrollo avanzada
disposiciones y procedimientos que permiten a una organizacin
responder a un evento de una manera tal que crtica para el negocio
funciones continan con los niveles previstos de interrupcin o esencial
cambiar. En trminos ms simples, un BCP es el acto de forma proactiva
strategising un mtodo para evitar, si es posible, y gestionar el
consecuencias de un desastre, lo que limita las consecuencias de la
medida en que una empresa puede absorber el impacto.
BCP se definen las funciones y responsabilidades e identifica el
programas de aplicaciones de TI crticos, sistemas operativos, redes,
cuadros de personal, instalaciones, archivos de datos, hardware y el tiempo necesario
para asegurar la alta disponibilidad y la fiabilidad del sistema basado en el
anlisis de impacto en el negocio (BIA).
Opinin de un auditor de los componentes de un BCP puede incluir
los enumerados en la figura 1.
Evaluacin de Riesgos
El requisito de un BCP es la evaluacin de riesgos, que
involucra la tarea de identificar y analizar el potencial
vulnerabilidades y amenazas, incluyendo la fuente. En la inicial
etapa de la revisin, el auditor se centra la atencin en
revisar el alcance y la metodologa de evaluacin de riesgos
llevada a cabo por la organizacin. La evaluacin de riesgos se inicia
con la valoracin de los activos, seguido de anlisis de la vulnerabilidad
y anlisis de amenazas. El resultado de un anlisis de la vulnerabilidad es la
identificacin de las amenazas relevantes, y el resultado de una amenaza
anlisis es la identificacin de vulnerabilidades pertinentes. Foco
se mantiene en las amenazas que pueden explotar existente y
vulnerabilidades potenciales. La probabilidad de la amenaza, la
grado de vulnerabilidad y la gravedad de los efectos son
combinada a la conclusin de la evaluacin del riesgo.
El resultado de la evaluacin de riesgos elabora el potencial
amenazas y la exposicin prevista relacionada, as como la
contingencia y mitigacin de la accin requerida, y concluye con
los beneficios derivados de la cobertura de riesgos.
La evaluacin del riesgo, seguido de un BIA, se realiza para evaluar
los riesgos financieros globales y los efectos operacionales debido a una
interrupcin de las actividades empresariales.
Business Impact Analysis
Un BIA es un ejercicio que determina el impacto de perder
el apoyo de ningn recurso en la organizacin y establece
la escalada de esa prdida a travs del tiempo, identifica el mnimo
recursos necesarios para recuperarse, y da prioridad a la recuperacin de
procesos y sistemas de apoyo. A identifica BIA y
prioriza los procesos crticos de negocio y flujo de trabajo
con el apoyo de la infraestructura de IS, incluyendo, pero no limitado
a, el anlisis costo-beneficio de los controles en distintos interrupcin
escenarios. Un BIA ayuda a determinar la cualitativa y
impacto cuantitativo de una interrupcin y priorizar el tiempo de recuperacin
objetivos (RTO). Figura 2 proporciona una lista de control BIA revisin.
Copyright 2005 Sistemas de Informacin de Auditora y Control Association. Todos los derechos reservados. Www.isaca.org.
El papel del Auditor en la revisin de
Pgina 2
BCP vs DRP
Figura 1-Componentes de un BCP
13/5/2014 Papel Business Continuity Planning del Auditor en la revisin de
http://translate.googleusercontent.com/translate_f 2/5
Yo
NFORMACIN
S
ISTEMAS
C
ONTROL
J
Diario
, V
OLUMEN
4, 2005
Mientras que un BCP se refiere a las actividades necesarias para mantener el organizacin en funcionamiento durante un perodo de desplazamiento o
interrupcin del funcionamiento normal, un plan de recuperacin de desastres
(DRP) es el proceso de reconstruccin de las operaciones o
infraestructura tras el desastre ha pasado.
Un DRP es un componente clave de un BCP, y se refiere a la
aspecto tecnolgico de un BCP-la planificacin avanzada y
preparativos necesarios para minimizar las prdidas y asegurar la continuidad
funciones de negocios de crticos en el caso de un desastre. Un DRP
comprende acciones coherentes que se realizarn antes, durante
y despus de un desastre.
El auditor reconoce que un DRP sonido se construye a partir de una
proceso de planificacin integral que implique a toda la empresa.
En la economa interconectada de hoy, las organizaciones son ms
vulnerables que nunca a la posibilidad de dificultades tcnicas
interrumpir el negocio. Cualquier desastres, desde inundaciones o incendios a los virus
y el ciberterrorismo, puede afectar a la disponibilidad, integridad y
confidencialidad de la informacin que es crtica para los negocios. La
revisin de las estrategias de recuperacin de desastres incluye el uso de
lugares alternativos (sitios calientes, fros y calientes), los datos redundantes
centros, acuerdos recprocos, enlaces de telecomunicaciones,
seguros contra desastres, los anlisis de impacto de negocio y legal
pasivos. El examen verifica que son escenarios de desastre
categorizados basndose en la gravedad de los efectos, y la DRP
aborda diversos niveles de gravedad.
Revisin del BCP incluye la inspeccin exhaustiva de la
factores clave de un BCP, tales como los de la figura 3.
Es la competencia del auditor
A modo de resea BCP es en esencia especfica de la empresa, la
auditor debe ser competente y tener una comprensin global
del entorno empresarial, incluida la organizacin de
misin, objetivos de negocio, procesos de negocio relevantes, el
requisitos de informacin de dichos procesos, la estratgica
valor de IS y la medida en que tales procesos estn alineados
con la estrategia general de la organizacin.
Plan de Auditora
Es imperativo que el alcance y el objetivo de la revisin BCP
que ser planificado por el auditor y, en su caso, la
organizacin / entidad auditada a participar en el proceso de planificacin. La
Se planea la auditora para garantizar que el alcance y los objetivos de la
revisin se cumplen de una manera objetiva y profesional. La
plan de auditora considera que el enfoque de la auditora de las distintas fases del
BCP en la fase de organizacin tpicamente preimplantacin,
fase de implementacin, fase de prueba y posterior a la implementacin
fase. El plan debe indicar explcitamente las exclusiones, en su caso, y
indicar claramente el alcance de la revisin.
El enfoque de auditora debe tener en cuenta que el BCP
desarrollo, mantenimiento y activacin son esfuerzos de equipo que
incluir grupos de usuarios activos y estables. El enfoque de la auditora
debe ser debidamente documentado, y los requisitos de
colaboracin de expertos externos deben ser identificados, en su caso.
El enfoque debe considerar las reas crticas, tales como
priorizacin de los procesos de negocio y los resultados de riesgo
evaluacin, para proporcionar una seguridad razonable de que el BCP es
aplicacin efectiva de la forma prevista.
Identificacin Identifica las amenazas y los riesgos del negocio potenciales
Prevencin Previene o reduce al mnimo la probabilidad de que el incidente
Deteccin Identifica las circunstancias bajo las cuales el
organizacin determina introduciendo el estado de contingencia
Declaracin Especifica las condiciones en que la contingencia es
declarado e identifica a la persona (s) que pueden
declararla
Escalada Especifica las condiciones en que la contingencia es
escalado e identifica a la persona (s) y el orden de
escalada en caso de contingencia
Contencin Especifica la accin inmediata que se requiere para contener o
minimizar el efecto del incidente sobre los clientes,
proveedores, prestadores de servicios, grupos de inters,
empleados, activos, asuntos pblicos y el negocio
proceso
Aplicacin Especifica la lista completa de las acciones a seguir
para declarar el estado de contingencia (por ejemplo, fuera de la oficina
procesamiento, recuperacin de copias de seguridad, los medios de comunicacin fuera de las instalaciones y
manuales, el transporte de los empleados y la distribucin,
y los contratos de los proveedores)
Recuperacin Incluye la planificacin y los preparativos por adelantado
necesarias para minimizar el impacto adverso de negocios
(Como la prdida financiera y daos de imagen), facilitar la
ms rpida recuperacin y asegurar la continuidad de la crtica
funciones de negocio de una organizacin, en caso de
desastre, en un plazo aceptable. La tecla
aspectos que deben revisarse son:
Reanudacin-Reanudacin de la crtica y el tiempo-
procesos sensibles inmediatamente despus de la
interrupcin y antes de que el tiempo medio declarado
entre fallos (MTBF)
Revival-Renacimiento de vital importancia y menos sensibles al tiempo
procesos est relacionado con la reanudacin del crtico
procesos.
Restauracin-Reparacin y restauracin del lugar para
estado original y la reanudacin de los negocios
operaciones en la totalidad o la creacin de un
nuevo sitio completo
Reubicacin-Volver a poner a un sitio alterno temporal
o dependiendo permanentemente tras la interrupcin
Gestin de Crisis-La coordinacin general de
La respuesta de la organizacin a una crisis en una
, de manera oportuna eficaz, con el objetivo de evitar
o minimizar el dao a la organizacin de
rentabilidad, reputacin o la capacidad para operar
Figura 2-BIA Lista de comprobacin
Cul es el riesgo de prdida de los diversos riesgos que pueden ser
identificado?
Cul es la magnitud de la exposicin al riesgo fsico y operacional?
Qu tan extenso son los riesgos relativos a la prdida de productividad,
los ingresos y la reputacin?
Qu se puede hacer para reducir el riesgo?
Cules son los costos de mitigar el riesgo?
Cul es el costo / beneficio de las diferentes medidas de mitigacin que
se puede implementar?
Pgina 3
recopilacin, anlisis e interpretacin de los datos disponibles. Mientras que todos
de esta informacin puede no estar disponible, debe haber
como mnimo un anlisis bsico de evaluacin de riesgos que define
los procesos de negocio crticos y los riesgos basados en TI.
El proceso de auditora debe reconocer que las principales reas de riesgo
de un BCP BCP incluir debilidades detectadas anteriormente y
cambios introducidos en el entorno de los sistemas (tales como
aplicaciones, equipos, comunicaciones, procesos y
personas), ya que la ltima prueba de BCP. Para dar seguimiento a las debilidades
identificado en la revisin anterior, el auditor puede considerar
la revisin de los siguientes documentos:
Informes de Incidentes
informes de exmenes anteriores
Actividades de seguimiento
papeles de trabajo de auditora de los exmenes anteriores
los informes de auditora interna y externa
informes de las pruebas internas y el plan de medidas correctivas
Figura 3-Factores clave de un BCP
El BCP debe:
Ser comprensible, fcil de usar y mantener
Ofrecer una gestin con un conocimiento global de
efectos adversos en los negocios debido a los sistemas de procesamiento normales
interrupcin, y el esfuerzo total requerido para desarrollar y mantener un
efectiva BCP
Obtener el compromiso de gestin ejecutiva para apoyar y
participar en el esfuerzo
Identificar los recursos de informacin crticos relacionados con la actividad principal
procesos
Identificar los mtodos para mantener la confidencialidad e integridad de los datos
Evaluar cada proceso de negocio para determinar su gravedad.
Indicaciones de criticidad incluyen:
- El proceso es compatible con la vida o los pueblos "la salud y la seguridad.
- El proceso es necesario para cumplir los requisitos legales o estatutarias.
- La interrupcin del proceso afectara a los ingresos.
- Hay un impacto potencial a la reputacin empresarial, incluido el
13/5/2014 Papel Business Continuity Planning del Auditor en la revisin de
http://translate.googleusercontent.com/translate_f 3/5
Yo
NFORMACIN
S
ISTEMAS
C
ONTROL
J
Diario
, V
OLUMEN
4, 20 0 5
Proceso de Auditora
El proceso de auditora debe considerar las reas a ser crtica
y tener en cuenta el alcance previsto y el objetivo de la
revisar, as como el enfoque definido como parte de la planificacin
proceso. Estudio de la documentacin disponible, como el BCP,
DRP, BIA, anlisis de riesgos de negocio y de la empresa de riesgo
marco de gestin, debe utilizarse adecuadamente en
Para identificar los cambios en el entorno de los sistemas, el auditor
podra considerar la posibilidad de entrevistar a personal de la organizacin y el servicio
proveedores, anlisis de documentos y los informes de gastos, la inspeccin de TI
locales, la revisin de los inventarios de hardware y software, y
el uso de software especializado para analizar los datos tcnicos.
Pruebas de BCP
Pruebas de BCP debe disearse cuidadosamente para evitar
la interrupcin de los procesos de negocios. reas apropiadas de BCP
prueba puede ser identificado como parte del anlisis anual de riesgos,
evitando as la duplicacin de esfuerzos.
El auditor de SI debe considerar en la revisin de cada uno de los
siguientes fases de las pruebas:
Pretest-Set de acciones necesarias para establecer el escenario para la prueba real
Test-La accin real de una prueba de BCP
postest-La limpieza de las actividades del grupo
Postinvocation revisin-Revisin de las acciones siguientes bienes
invocacin del plan
El auditor de SI debe asegurar que el plan de ensayo a una
mnimo, se dirige a los siguientes objetivos:
Verifica la integridad y la precisin del BCP
Evala el desempeo del personal involucrado en el BCP
autoevala la formacin y la sensibilizacin de los equipos
Evala la coordinacin entre los equipos de BCP, DRP y equipos
proveedores externos y proveedores de servicios
Mide la habilidad y la capacidad del sitio de respaldo para cumplir
requisitos de la organizacin
Evala la capacidad de recuperacin de los registros vitales
Evala el estado y la cantidad de equipos y suministros
que han sido reubicados en el sitio de recuperacin
Mide el rendimiento general de funcionamiento y
actividad de procesamiento de la organizacin
Figura 4 identifica las consideraciones de un plan de pruebas BCP
revisar.
Inferencias y recomendaciones de la auditora deben basarse en un
anlisis objetivo y la interpretacin de los datos disponibles.
Pistas de auditora adecuadas deben mantenerse para los datos
recogida, el anlisis hecho, llegaron a conclusiones y correctivo
acciones recomendadas. Tambin es importante que las observaciones
y recomendaciones validarse con adecuada
gestin dentro de la organizacin antes de finalizar el informe.
de los clientes.
Enfocar la atencin del plan en:
- El manejo de desastres
- Reducir al mnimo el efecto de los desastres, en la eventualidad de que el
desastre no es manejable
- La recuperacin ordenada
- La continuidad de las operaciones y servicios clave
Validar los objetivos de tiempo de recuperacin (RTO) y punto de recuperacin
objetivos (RPO) para diversos sistemas y su cumplimiento con
objetivos de negocio
Identificar las condiciones que activan el plan de contingencia
Identificar qu recursos estarn disponibles en una etapa de contingencia
y el orden en que los mismos sean recuperables
Identificar los facilitadores (personas y recursos) necesarios para la recuperacin
Seleccin de los equipos de proyecto, de conformidad con tecnolgica y empresarial
ambientes para proveer representacin razonable de ncleo y
rea funcional crtico (s) para desarrollar el plan
Identificar los mtodos de comunicacin entre los facilitadores, apoyo
funcionarios y empleados
Identificar las condiciones geogrficas relacionadas con la recuperacin de
operaciones
Definir los requisitos de recuperacin desde la perspectiva de negocio
funciones
Definir cmo las consideraciones BCP deben integrarse en curso
planificacin y desarrollo de sistema de los procesos para el plan
para seguir siendo viable en el tiempo
Implementar un proceso de revisin peridica de la BCP de continuar
idoneidad as como la actualizacin oportuna del documento, especficamente
cuando hay cambios en la tecnologa y los procesos, legal o
los requerimientos del negocio. Las estrategias de BCP tambin se pueden modificar
basado en los resultados de las evaluaciones de riesgo y vulnerabilidad
evaluaciones.
Elaborar una estrategia global que incluya la prueba BCP
gestin, pruebas de funcionamiento y tcnica
Implementar un proceso de gestin del cambio y apropiada
versin controla para facilitar el mantenimiento
Identificar los mecanismos y el fabricante (s) la decisin de cambiar de recuperacin
prioridades resultantes de recursos adicionales o reducidos como
en comparacin con el plan original
Documentar los enfoques formales de capacitacin
Pgina 4
Cuestiones clave Figura 5 detalles, parmetros de funcionamiento,
componentes de planificacin y elementos de procedimiento de auditora
consideraciones.
La externalizacin de actividades de SI
Cualquier efecto adverso o la interrupcin de los negocios de la
proveedor de servicios tiene una incidencia directa en la organizacin y su
clientes. Cuando la organizacin tiene total o parcialmente
externalizado sus actividades es proveedor de servicios externo (s), el
Figura 4-BCP Plan de Pruebas revisar las consideraciones
Revisin de las pruebas de BCP Revisin del Escenario posterior al evento
Alcance y objetivos de la
plan de pruebas
Frecuencia, metodologa y
revisiones del plan de pruebas
Tipo, idoneidad y
suficiencia de pruebas
Aplicaciones
El volumen de los datos
reas de negocio
Reprogramacin de rutas de red
la vulnerabilidad del sistema, la penetracin
y la respuesta a incidentes
El cambio, la configuracin y el parche
administracin
Los criterios de evidencia de auditora y
requisitos
Representante entorno de prueba
del ambiente operacional,
y las excepciones documentadas
Prueba de la eficacia y de su relacin
a la evaluacin y negocio arriesgar
conclusiones de impacto
Causa y naturaleza de
desorganizacin
Extensin del dao a
el personal, la infraestructura y
equipos
Severidad del impacto
Ejercicios de Mitigacin en marcha
Servicios afectados
Los registros daados
Artculos rescatable
Los elementos que pueden ser reparados,
restaurado y / o sustituido
Las reclamaciones de seguros
Tiempo para restaurar la totalidad
de procesos de negocio
Plan de Accin, los equipos de restauracin,
funciones y responsabilidades
Figura 5-Consideraciones de auditora
En una revisin BCP, el auditor de SI se ocupa de cuestiones clave como:
Por qu debe hacerse?
Cmo debe hacerse?
Quin debe hacerlo?
Qu se necesita hacer?
Cundo debe hacerse?
Dnde se puede hacer?
Qu polticas, se deben seguir las reglas y normas?
Quin puede cambiar el plan y en qu circunstancias?
En qu condiciones se declara un desastre "sobre"?
La revisin tiene en cuenta los parmetros de organizacin tales como:
El BCP es consistente con la misin general de la organizacin,
metas y planes operativos estratgicos.
El BCP se actualiza y se considera actual rutinaria.
El BCP en su lugar se pone a prueba peridicamente, revisada y verificada por
la adecuacin continua.
Asignacin del presupuesto disponible para las pruebas de BCP, la implementacin
y mantenimiento.
Los anlisis de riesgo se realizan rutinariamente.
Un procedimiento formal est en su lugar de actualizar peridicamente la informacin y
inventario de telecomunicaciones.
Direccin y personal de la organizacin tienen la
habilidades para aplicar el BCP requerida, y hay un apropiado
programa de capacitacin.
Medidas para mantener un ambiente de control adecuado (tal
como la segregacin de funciones y control de acceso a los datos y los medios de comunicacin)
estn en su lugar.
Se identifican Facilitadores y los roles individuales y
responsabilidades estn adecuadamente definidos, publicados y
comunicada.
Los canales de comunicacin estn totalmente documentados y publicitados
dentro de la organizacin.
Interfaz y su impacto entre los departamentos de / divisiones dentro
se entiende la organizacin.
Coordinacin con proveedores de servicios externos y los clientes es
CUESTIONES CLAVE
ORGANIZACIONES
CIONAL
13/5/2014 Papel Business Continuity Planning del Auditor en la revisin de
http://translate.googleusercontent.com/translate_f 4/5
Yo
NFORMACIN
S
ISTEMAS
C
ONTROL
J
Diario
, V
OLUMEN
4, 2005
auditor deber determinar si el proveedor de servicio tiene un BCP que
est en conformidad con el BCP de la organizacin. Revisin
Tambin verifica que el acuerdo con el servicio tercerizado
proveedor incluye una descripcin de los medios, mtodos,
procesos y la estructura que acompaan la oferta de informacin
servicios de sistemas y productos, as como el control de calidad.
El auditor debe obtener un entendimiento de la naturaleza,
oportunidad y alcance de los servicios externalizados y establecer la
controla el proveedor de servicios ha puesto en marcha para hacer frente a la
requisito de negocio y la continuidad del negocio de la
organizacin vis--vis el BCP del proveedor de servicios. El auditor
considera todos los requisitos de auditora establecidos anteriormente en la revisin de
una actividad externalizada, adems de lo siguiente:
Si el acuerdo establece los derechos abiertos y sin obstculos
para auditar el proveedor de servicios como lo considere necesario la
organizacin
Si el acuerdo protege adecuadamente la organizacin
en caso de interrupcin de la actividad del prestador de servicios
Si el acuerdo se prev la continuidad de los servicios en
caso de desastres
La integridad, confidencialidad y disponibilidad de la
los datos de la organizacin con el proveedor de servicios
Si el personal de la organizacin estn descontentos sobre el
acuerdo de externalizacin o si hay una falta de lealtad debido a
externalizacin
debidamente documentados y debidamente comunicada dentro del organizacin.
Equipos de BCP se han identificado diversas tareas BCP, claramente
los roles, las responsabilidades y el establecimiento de los informes de gestin
que definen la responsabilidad.
Cumplimiento de los requisitos legales y reglamentarios
se considera.
Planificacin componentes considerados en la revisin incluyen:
Si una metodologa para determinar las actividades que constituyen
cada proceso est en su lugar, como parte de un proceso de negocio clave
anlisis
Si la tecnologa de sistemas de informacin previsto
arquitectura para el BCP es factible y resultar en la caja fuerte y
operaciones de sonido en caso de interrupcin de los negocios principales impactos
Los procesos de TI
Ya sea que se llevaron a cabo una evaluacin de riesgos y la BIA antes
la aplicacin de BCP
Si los riesgos se han revisado peridicamente y la BIA
incluye cambios en los riesgos y efecto correspondiente en
el BCP
Si el BIA identifica los fotogramas clave de tiempo de recuperacin de la
los procesos de negocio crticos
Si existen planes de respuesta a incidentes apropiados en lugar
gestionar, contener y reducir al mnimo los problemas derivados de
eventos inesperados, incluyendo los eventos internos o externos
Si un programa apropiado est en su lugar para las pruebas de BCP y
mantenimiento
prueba in situ, la simulacin, la activacin de evento y su
impacto potencial
Si existe un ciclo de vida BCP y es seguida durante
desarrollo, mantenimiento y actualizacin
PLANIFICACIN
Pgina 5
administracin del control de acceso / seguridad en el servicio
las instalaciones del proveedor
Violacin de informes y el seguimiento por parte del proveedor de servicios
Los controles de red, controles de cambio y las pruebas en el servicio
las instalaciones del proveedor.
Informes
Notificar sobre contenido
El informe de auditora debe contener observaciones sobre la
procesos, instalaciones y tecnologas que intervienen en el BCP, el
riesgos asumidos y cmo se gestionan los riesgos en caso de un
contingencia. El informe elaborado a raz de la revisin BCP
debe incluir aspectos tales como:
El alcance, objetivo, perodo de cobertura, metodologa
seguido y los supuestos
Evaluacin global de la solucin en trminos de puntos fuertes
y debilidades, as como los posibles efectos de las debilidades
Otros temas, dependiendo del alcance de la tarea, puede
ser incluidos.
Las partes interesadas en la solucin y los destinatarios del informe
deben ser identificados y sometidos a un nivel adecuado de
la direccin y al comit de auditora, si uno se establece.
Debilidades
Debilidades identificadas en la revisin BCP, debido a la falta de
controles, la mala aplicacin o nonmitigation de asociados
los riesgos a niveles agradables, se deben traer a la atencin de
el propietario del proceso de negocio y es la gestin responsable
para la aplicacin del proceso de BCP. Cuando debilidades
identificados durante la revisin BCP se consideran significativas o
el material, la direccin ejecutiva debe aconsejar que
emprender una accin correctiva inmediata. Cuando proceda, una
SE auditor puede recomendar mtodos para fortalecer los controles y
mitigar los riesgos asociados.
Actividades de Seguimiento
Oportunidad
Los efectos de las debilidades en el BCP son ordinariamente amplia-
que van y de alto riesgo. Por lo tanto, el auditor deber llevar a cabo
suficiente, oportuna labor de seguimiento, en su caso, para verificar
que la administracin toma rpidamente medidas para subsanar las deficiencias.
Eficacia
Para proporcionar una seguridad razonable de la eficacia de la
revisin, el auditor debe realizar una revisin de seguimiento de
supervisar que las recomendaciones se han llevado a cabo y
verificar la eficacia de las medidas correctivas implementadas.
Conclusin
Ms que una estrategia de supervivencia de las empresas, el BCP es una parte integral
de los procesos de negocio de una organizacin para proteger responsablemente el
inters de los grupos de inters internos y externos. Los grupos de inters
abiertamente confiar en las garantas proporcionadas por profesional independiente
verificaciones. Como un profesional competente, el auditor lleva una
profunda responsabilidad en la realizacin de la revisin de un BCP
organizacin y asegurar su alineacin con los objetivos del negocio.
La reciente ISACA G32 Orientacin Auditora, Revisin BCP
Desde la perspectiva de TI, proporciona la direccin necesaria para la
auditor para cumplir con las expectativas de las partes interesadas.
Referencias
IT Governance Institute, C
OBI
T 3rdEdicin, EE.UU., 2000
Sistemas de Informacin de Auditora y Control Association,
Directriz de Auditora G32, BCP Revisin de ella
Figura 5-Consideraciones de auditora (cont.)
Elementos de procedimiento examinados incluyen si:
La alta direccin es una fuerza impulsora importante en la aplicacin de
el BCP
Se proporciona Mxima prioridad para la seguridad de los empleados, el personal y
recursos crticos
Los recursos y su recuperacin se han priorizado y
comunicado a los equipos de recuperacin
Se crea la conciencia de toda la organizacin en el
efectuar a la empresa en caso de un desastre
Procedimientos adecuados de respuesta de emergencia estn en el lugar y
probado
Las personas involucradas en el desastre de evaluacin / recuperacin
proceso estn claramente identificados, y los roles y responsabilidades son
delineado en toda la organizacin
Se han realizado Niveles adecuados de formacin, incluida la
simulacros de pruebas simuladas
Los planes de evacuacin estn en su lugar y se prueban peridicamente
Los recursos humanos de copia de seguridad son identificados y disponibles
Un rbol de llamadas es revisado, probado y actualizado de forma rutinaria
Estrategias de comunicacin alternativos se han identificado
Los procedimientos de copia de seguridad y recuperacin forman parte del BCP
Las copias de seguridad se pueden recuperar
Una prctica de rotacin de copia de seguridad adecuada est en su lugar
ubicaciones fuera del sitio (fros y calientes sitios, calientes) se han probado para
disponibilidad y confiabilidad
Se mantienen los registros fuera de las instalaciones adecuadas
La confidencialidad y la integridad de los datos y la informacin son
mantenido
Las estrategias de enlace con los medios estn en su lugar, en su caso
El BCP ha sido probado peridicamente y los resultados de pruebas
documentado
Las acciones correctivas se han iniciado sobre la base de los resultados de pruebas
proteccin de seguro adecuada est disponible
PROCEDIMIENTO
13/5/2014 Papel Business Continuity Planning del Auditor en la revisin de
http://translate.googleusercontent.com/translate_f 5/5
Yo
NFORMACIN
S
ISTEMAS
C
ONTROL
J
Diario
, V
OLUMEN
3, 20 0 5
Recomendaciones para superar las debilidades significativas
y mejorar la solucin
La seguridad razonable sobre el proceso de BCP e interno relevante
controles para garantizar que los sistemas de TI pueden ser recuperados dentro de una
marco de tiempo aceptable en el caso de una interrupcin. El informe
debe indicar las conclusiones y recomendaciones, as como
reservas o salvedades.
Las recomendaciones relativas a cmo la experiencia podra ser
utilizado para mejorar las soluciones o iniciativas similares en el futuro
Perspectiva 2005
Pgina 6
Yo
NFORMACIN
S
ISTEMAS
C
ONTROL
J
Diario
, V
OLUMEN
4, 2005
Diario de Control de Sistemas de Informacin, anteriormente el IS de Auditora y Control Journal, es una publicacin de los Sistemas de Informacin de Auditora y
Control Association, Inc.. Miembro de la asociacin, una voluntaria
organizacin de las personas interesadas en los sistemas de informacin (IS) de auditora, control y seguridad, da derecho a recibir una suscripcin anual a la Information
Systems Control Journal.
Las opiniones expresadas en el Diario Information Systems Control representan las opiniones de los autores y de los anunciantes. Pueden ser diferentes de las polticas y
las declaraciones oficiales de la Auditora de Sistemas de Informacin
y la Asociacin de Control y / o el IT Governance Institute y sus comits, y de las opiniones aprobadas por los empleadores de los autores o los editores de esta revista.
Information Systems Control Journal
no dar fe de la originalidad de los contenidos de los autores.
Copyright 2004 por Information Systems Audit and Control Association Inc., anteriormente la Asociacin Auditores EDP. Todos los derechos reservados. ISCA TM Sistemas de Informacin Control Association TM
Los instructores estn autorizados a fotocopiar los artculos aislados para usos no comerciales aula sin honorarios.
Para otro tipo de copia, reimpresin o reedicin, se debe obtener permiso por escrito de la
asociacin.
Cuando sea necesario, el permiso es otorgado por los propietarios de los derechos para las personas registradas en el Copyright Clearance Center (CCC), 27 Congress St., Salem, Massachusetts 01970, para fotocopiar artculos
propiedad de los Sistemas de Informacin de Auditora y Control Association Inc., por una tarifa plana de EE.UU. $ 2.50 por artculo ms 25 por pgina.
Enve el pago a la CCC que indica el ISSN (1526-7407), la fecha, el volumen,
y el primer y ltimo nmero de pgina de cada artculo.
La copia para que no sean personales o de referencia interna, o de artculos o columnas no son propiedad de la asociacin sin el permiso expreso de la
asociacin o el propietario del copyright est expresamente prohibida.
www.isaca.org
Ravi Muthukrishnan, CISA, CISM, la FCA
es el jefe de finanzas de la filial india de Ikanos
Comunicaciones, Fremont, California, EE.UU., una compaa que
proporciona soluciones de silicio centradas en la obtencin de fibra rpida
acceso de banda ancha a travs de lneas de cobre. Su experiencia incluye
aplicacin de las normas internacionales: ISO 9001:2000, SEI
CMM, C
OBI
T y BS 7799. l ha sido un miembro de ISACA
desde 1998 y ha participado activamente en las actividades de la
ISACA Bangalore (India) del captulo en varias capacidades. l es
actualmente el vicepresidente del captulo y un miembro de la
Estndares de ISACA Junta.