Capitulo 6 CONTINUIDAD DEL NEGOCIO Y RECUPERACION DE DESASTRES Manual de Preparacion al Examen CISA 2008 comCONTINUIDAD DEL NEGOCIO Y RECUPERACION DE DESASTRES Capitulo 6 6.1 INTRODUCCION, 6.1.1 OBJETIVO. G12 TAREAS. ew 6.1.3 DECLARACIONES DE CONO a 61d RELACION DE-TAREAS CON LAS DECLARACIONES DE CONOCIMIENTO »... 62 PLANEACION DE LA CONTINUIDAD DEL NEGOCIO { RECUPERACION DE DESASTRES.. 16.2.1 Planencién de la Continuidad de! Negocio/Recuperacidn de Desastres de SI 6.2.2 Desastres y Otras Interrupeiones. “Tratando con Dafos a ka Imagen, la Reputacign ola Marea 6.2.3 Proceso de BCP. : a 6.2.6 Andlisis del Impacto al Negocio. CClasifcacin de as Operaciones y Analisis de la Critic 62:7 Objeve de Ponto de Resuprcién y Objaivo de Tiempo de Recaption 6.28 Batategias de Recuperscién : 62.9 Alterativas de Recuperacién “Teenologis de Recuperacién.. Obiencién de Hardiare Alternativo 62.10 Desarrollo de Planes de Cont 6.2.11 Organizacién y 6.2.12 Otros Aspects a Tener en Cuenta en el Desarrollo del Pl 6.2.13 Componentes de un BCP Personal Clave pare la ‘Toma de Decsiones Respaldos de los Suministros Requeridos Méodos de Recuperacion de Desasre de as Redes de Telecominicaciones.. Arreglo Redundante de Discos Independientes (0 Baratos) Descripeidn de los Niveles de RAID ssn Seguros 617 62.14 Pruebas del Plan. Fspecificaciones Ejecucién de Pruebas. Documentacién de Resultado. Anilisis de Resultados... Mantenimonto del Plan... 6.2.18 Respaldo (Backup) y Recuperacion Controls de le Bibliotes ene Sitio Aitero. Seguridad y Contcol de las Instlaciones alternas (Of ste Respaldos de los Medios de la Documentacién Provecimientos Periéicos de Copias de Respaldo Fresuencia de Rotacin.. : ‘Tipos de Medios y Deeumeniacion Rotada... ‘Método de Rotacién Mantenimiento de los Archivos Almseensdas cn el Sito Altemo Mejores Picticas de Adiinistacién de I Continua del Negocio. 62.16 Resumen de Continuidad del Negocio y Recuperacién de Desasts.... 63 AUDITORIA AL PLAN DE CONTINUIDAD DEL NEGOCIO (DRP + COOP + BRP. 6.3.1 Revisién del Plan de Continuidad del Negocio BCP 7 x 633.2 Evaluncién de Resultados de Prucbes Anterores or Manual de Preparacién al Examen CISA 20086.3.3 Evaluar el Sitio de Almacenamiento Alterno 63.4 Entrevista al Personal Clave: 63.5 Bvaluar la Seguridad del Sitio Alterno 6.3.6 Revisar el Contrato de Procesamiento Alter 6.3.7 Revisar la Cobertura de Seguros. 64 CAPITULO 6 CASO DE ESTUDIO, 6.4.1 Caso de Estudio A... Eseenario Caso de Estudio A. Preguntas Caso de Estudio A. 65 RESPUESTAS A LAS PREGUNTAS DE PRACTICA.. ‘6.6 RESPUESTAS A LAS PREGUNTAS DEL CASO DE ESTUDIO 6.7 RECURSOS SUGERIDOS PARA MAS ESTUDI Manual de Preparacién al Examen CISA 2008 385La Planeacién de Continuidad del Negocio y la Planeacién de Contingencia para los sistemas de informacién son elementos del sistema de control interno establecidos para administrar Ia disponibilidad de los procesos criticos y los datos valiosos de computadora en el caso de una interru} BI t6pico de Continuidad del Negocio es potencialmente amplio en aleance. Bl tipo de negocio impulse los tipos de planes en los que el planificador debe concentrarse. La planeacién de Continuidad del Negocio es un proceso més que un proyecto. Los planes que el planificador desarrolla como parte de este proceso diriginin la respuesta a incidentes desde simples cemengencias hasta desastres totales. La meta altima del proceso es poder responder mejor a incidentes que puedan impaetar en la gente, las operaciones y la capacidad de entregar bienes y servicios al mercado. inuity Planning) y DRP (por Disaster Recovery Planning) y especificamente las siguientes érea ~ los procesos de BCP y DRP = Anilisis de impacto al negocio - _ Bstrategias y alternativas dle recuperacién = Pruebas de plan = Respaldo y restauracién = Consideraciones de auditoria El capitulo sobre Continuidad del Negocio y Recuperacién de Desasires se enfoca en los elementos clave que se requieren para que una organizacién se desempeffe para planeat proactivaments, y administre, las consecuencias de un desastre, Las tarens requeridas para la garantia de los planes de Continuidad del ‘Negocio y Recuperacién de Desastres también estan detalladas en este capitulo, 6.1.1 OBJETIVO El objetivo de esta érea es asegurar que el candidato de CISA entienda y pueda proveer garantia de que en el caso de una interrupcién, los procesos de continuidad del negocio y recuperacién de desastres asegurarin el reinieio a su debido tiempo de los servicios de TI mientras que se minimiza el impacto sobre el negoci Esta frea representa el 14 por ciento del examen CISA (aproximadamente 28 preguntas) 6.1.2 TAREAS Hay tres (3) tareas dentro del area de continuidad del negocio y recuperacién de desastres: T6.1 Evaluar si las previsiones de respaldos y de recuperacién son las adecuadas para asegurar que s¢ retome el procesamiento, 762 Evaluar el plan de recuperacién de desastres cle la organizacién para asegurar que éste posibilita la reouperacién de las eapacidades de procesamiento de TI en e! caso de un desastre. 3a ‘Manual de Preparactn al Examen CISA 2008763 Evaluar el plan de continuidad del negocio de la organizacién para asegurar su capacidad de continuar las operaciones esenciales de! negocio durante el perfodo de una interrupeién de TL 6.1.3 DECLARACIONES DE CONOCIMIENTO Existen ocho declaraciones de conocimiento dentto del drea del Plan de Continuidad del Negocio y Recuperacién de Desastres: KS6.1 Conocimiento de copias de respaldo de datos, procesos de almacenamiento, mantenimiento, retencién y recuperacién, y practicas, KS6.2 Conocimiento de aspectos regulat ios, legales, contractuales y de seguros relacionados con la continnidad del negocio y recuperacién de desastres. Ks63 imiento del andlisis de impacto al negocio (BIA). KS6.4 mnto del desarrollo y mantenimiento de los planes de continuidad del negocio y n de desastres. Ks6.5 into de los enfoques y métodos de prueba de Ia continuidad del negocio y recuperacién , KS6.6 Conocimiento de las précticas de administracién de recursos humanos relacionados con ta fnuidad del negocio y recuperacién de desastres (por ejemplo, planeacién de evacuaciones, equipos de respuesta). KS6.7 Conocimiento de los procesos utilizados pare activar los planes de continuidad del negocio y recuperacién de desastres, KS6.8 Conocimiento de los tipos de sitios alternos de procesamiento y los métodos usados para monitorear los acuettdos contractuales (por ejemplo, hot sites, warm sites, cold sites). 6.1.4 RELACION DE TAREAS CON LAS DECLARACIONES DE CONOCIMIENTO Las declaraciones de tarea son lo que se espera que el candidato CISA sepa eémo hacer. Las declaraciones de conocimiento delinean lo que se espera que el candidato CISA sepa para realizar las tareas. La tarea y las doclaraciones de conocimiento estén mapeadas en la Figura 6.1 hasta donde es posible hacerlo, Note que a pesar de que hay a menudo traslape, cada declaracién de tarea generalmente se mapearé a varias declaraciones de conocimiento. Declaraciones de Tareas = Declaraciones de Conovimiiento. 76.1 Evaluar Ia adecuacién de respaldo y|KS6.1 Conocimiento de respaldo de datos, restaurar las disposiciones para asegurar [a | almacenamiento, mantenimiento, procesos de disponibilidad de informacién requerida para | retencién y restauracién, y précticas. reanudar of procesamiento, KS6.5 Conocimiento de métodos de prueba de contimidad del negocio y recuperacién de desastres. 162 Evaluarel plan de recuperacion de desasire | KS6.2 Conocimiento de aspectos regulatorios, de la organizacién para asegurar que permite la | legales, contractuales y de_seguros relacionados Manwal de Preparacion al Examen CISA 2008 37| recuperaci6n de las eapacidades de procesamiento de TI en ef caso de un desastre. ‘con recuperacton de desastres. KS6.3 Conocimiento del anélisis del impacto sobre cel negocio (BIA). KS6.4 —Conocimiento del desarrollo mantenimiento del plan de recuperacién de desastres. KS6.5 Conocimiento de formas y métodos de prueba de recuperacién de desastres. KS6.6 Conocimiento de _—_précticas de administracién de recursos humanos que se relacionan con recuperacién de desastres. KS6.7 Conocimiento de los procesos que se usan para invocar el plan de recuperacién de desastres. KS6.8 Conocimiento de 10s tipos de sitios altemos de procesamiento y los métodos usados para monitorear los acuerdlos contractuales. T63 Bvaluar el plan de continuidad del negocio de la onganizacién para asegurar su capacidad para continuar Jas operaciones esenciales del negocio durante ol periodo de una interrapeién de TI. KS6.2 Conocimiento de los aspeetos regulatorios, Tegales, contractuales y de seguros relacionados con la continuidad del negocio. KS6.3 Conocimiento del andlisis del impacto sobre el negocio (BIA). KS64 —conocimiento del desarrollo mantenimiento del plan de continuidad del negocio KS6.5 Conocimiento de las formas y métodos de pracba de la continuidad del negocio, KS6.6 Conotimiento de las pricticas do administracién de los recursos humanos que se relacionan con la continuidad del negocio. KS6.7 Conoeimiento de los procesos usados para invocar el plan de continuidad del negocio, NUIDAD DEL NEGOCIO La Planeacién de continuidad del negocio (BCP) es un proceso disefiado para reducir el riesgo de negocio de la organizacion que surja do una interrupeién no esperada de las funciones /operaciones criticas {manuales 0 automiticas) necesarias para In supervivencia de la organizacién. Esto incluye recursos humanos /materiales que soportan estas funtciones /operaciones criticas y garantia de la continuidad de por lo menos el nivel minimo de los servicios necesarios durante por lo menos las operaciones critica. El negocio modeo no puede evitar todas las formas de riesgo corporativo o de dato potencial. Un objetivo realista es asegurar la supervivencia de una organizacién estableciendo una cultura que identificard y administrard esos tiesgos que podrian causarle que sutra. Algunos ejemplos de estos riesgos corporativos ineluyen: # Incapacidad de mantener los servicios eriticos al cliente, © Dafio en Ia participacién de mercado, la imagen, reputacién o marca. © No poder proteger los activos de In Compaitfa, incluyendo propiedad intelectual y personal. «Falla de contro! del negocio, we ‘Manual de Preparacion al Examen CISA 2008© No poder cumplir los requisitos legales 0 regulatorios. El objetivo de la continuidad del negocio / recuperacién de desastres es permitir que un negocio contintic brindando sus servicios eriticos en easo de una interrupcién y que pueda sobrevivir a una interrupeién desastrosa de sus sistemas de informacion, Es necesaria una planeacién rigurosa y una asignacién de recursos para planear adecuadamente para un evento semejante. El primer paso para preparar un nuevo plan de continuidad del negocio es identificar los procesos de negocio de importancia estratégice, que son los procesos clave que son responsables tanto del crecimiento permanente del negocio como del cumplimiento de las metas del negocio. Basadbo en los procesos clave, el proceso de administracién del riesgo puede comenzar con una evaluacién del riesgo. Bl riesgo es directamente propotcional al valor de los activos y @ la probabilidad de que ocurra a amenaza percibida. De ese modo, el resultado de la evaluacién del riesgo debe ser la identificacién de fo siguiente: = Bsos recursos humanos y esos elementos de infraestructura que soportan los procesos clave = Una lista de las vulnerabilidades potenciales — los peligros o amenazas a la otganizacién = Laprobabilidad estimada de que ocurran estas amenazas La administracién de estos riesgos esta resulta en Ia preparacién del plan de continuidad del negocio. La parte de operaciones del plan de continuidad del negocio debe ocuparse de todas las funciones y activos requeridos para continuar como una organizacién viable. La extensién de aprovisionar facilidades alternas que deben ser conseguidas ¢s en Gitima instancia una decisién de negocio basada en la administracién del riesgo. El enfoque esté en Ia disponibilidad de los procesos clave del negocio para continuar operaciones si surgiera algiin tipo de interrupcién, BCP es principalmente una responsabilidad de In alta gerencia, ya que ella es la encargada de salvaguardar tanto los activos como Ia vinbilidad de la organizacién. El plan de continuidad del negocio fs generalmente ejecutado por las unidades de negocio y de soporte por igual, para proveer un nivel iinimo de funcionalidad de las operaciones del negocio, inmediatamente después de que se procizca una interrupci6n, mientras se esté llevando a cabo la recuperacién. Este plan debe abarear todas las funeiones y los sctivos que se requicren para continuar como una orgnnizacién viable, Esto incluye los procedimientos de continuidad calificados como necesarios para sobrevivir y para minimizar las consecuencias de la interrupcién del negocio. La planificacién de la continnidad del negocio toma en consideracién «Las operaciones crtieas que son més necesarias para la supervivencia de Ia organizaeién, © Los recursos humanos/materiales que las soportan. ‘Ademis del plan de continuidad de las operaciones, el plan de continuidad del negocio incluye: plan de recuperacién de desastres que se use para recuperar una instalacién que se tomné inoperable, incluyendo Ia reubicacién de las operaciones en un nuevo lugar «El plan de restauracién que se usa para regresar las operaciones a In normalidad, ya sea en una instalacién recuperada o en una nueva “Manual de Preparacion al Examen CISA 2008 37Uno de los requerimientos més importantes es ef mejoramiento de la seguridad de las operaciones normales. Esto implica la introduecién de les contramedidas que disminuyen la probabilidad de que ‘ocutrra dicho evento que podria causar la interrupcién del negocio. Adin sin inferrupeiéa, las condiciones del cumplimiento de las metas del negocio deben ser verificadas regularmente para cumplir con estas metas En general, el eoncepto de BCP ¢s igual a Ia combinacién de Ia planificacién de recuperacién de desastres iis las operaciones del negocio. Dependiendo de la complejicdad de la organizacién, podsia haber uno 0 ‘mds planes para resolver los diversos aspectos de la continuidad de! negocio y recuperacién de desastres. Estos planes no tienen necesariamente que ser integrados en un solo plan, Sin embargo, cada uno tiene que ser consistente con otros planes para tener una estrategia viable de BCP. Aiin si se manejaran procesos similares de fa misma organizaci6n en un lugar geogrifico diferente, las soluciones de BCP y DR pueden ser diferentes pare escenarios diferentes. Las soluciones pueden ser diferentes debido a los requerimientos contractuales (Ej., la misma organizacién esté procesando una ‘ransaccién en linea para un cliente y el back office esté procesando para otro cliente). Una solucién de BCP para el servicio en linea seré significativamente diferente de uno para el procesamiento det back office, Preguntas de Préctica 6-1 Durante una auditoria de un gran banco, el auditor de ST observa que no se ha llevado a cabo nningtin gjercicio formal de evaluacién del riesgo para que las diversas aplicaciones de negocio leguen a su importancia relativa y requerimientos de tiempo de recuperacién, Bl riesgo al que el banco esti expuesto es que: A. El plan de continuidad del negocio puede no haber sido calibrado para el riesgo relativo que posee la interrupcién de cada aplicacién para la organizaciGn, B. BI plan de continuidad del negocio puede no incluir todas les af tanto, puede carecer de totalidad en términos de su cobertura, C. Bl impacto de un desastre sobre el negocio puede no haber sido correctamente entendido por la goren D. El plan de continuidad del negocio puede carecer de una apropiacién efectiva de los ductios del negocio sobre las aplicaciones. saciones relevantes y, por lo 6-2 {Cul de lo siguiente es necesario tener PRIMERO en el desatrollo de un plan de continuidad del negocio? clasificacién de sistemas basada en el riesgo inventario de todos los activos completa documentacién de todos los desastres disponibilidad de hardware y de software poe> 6-3 Unauiditor de SI debe participar en: observa las prucbas del plan de recuperacién de dosastres, . desarrollar el plan de recuperacién de desastres mantener el plan de recuperacin de desastres ,revisar los requisitos de recuperacién de desastres de los contratos de proveedor Br Manual de Preparacion al Examen CISA 20086.2.1 Planeacién de la Continuidad del Negocio/Recuperacién de Desastres de SI Para el caso de la planificacién de continuidad del negocio de SI, e! método es el mismo que en BCP, con la diferencia de que en este caso los sistemas de procesamiento de SI estén amenazados. El procesamiento de SI es de importancia estratégica — es un componente critico ya que Ia mayotia de los procesos clave del negocio depenclen de la disponibilidad de sistemas clave y componentes de infraestructura, ‘A través de todo el proceso de BCP, el plan general de la organizacién debe ser tomado en consideracién, ‘Todos los planes de SI deben soportar y ser consistentes con el plan de continuidad del negocio corporativo. Esto significa que las instalaciones de procesamiento alternas que soportan las operaciones clave deben estar Listas y tener planes actualizados respecto a su uso, La planeacién de la continuidad del negocio / recuperacién de desastres es un componente importante de ln estrategia general de continuidad del negocio y recuperacién de desastres de una organizacién. Como ‘se mencioné arriba, el procesamiento de SI es de importancia estratégica, porque casi todos los procesos: del negocio dependen del uso de recursos de informacién automatizados para alcarrzar los objetivos de Ia misién de una organizacién, Por lo tanto, deberia haber una instalacién reservada y lista para soportar estas operaciones clave en caso de una interrupeién en que el negocio no pudiera funcionar sin el procesamiento continuo de informacién. En caso de que fuera un plan separado, el plan de SI debera ser ‘consistente con y soporiar el plan corporativo de continuidad del negocio, El plan de continuidad del negocio debe también estar basado en Ia estrategia de Ia institucién, De ose modo, la clasificacién con respecto a la criticidad de los diversos sistemas de aplicacién desplegados en la ‘organizacién depende de In naturaleza del negocio asi como también del valor de cada aplicacién al negocio. Este valor es directamente proporcional al papel que desempefia el sistema de aplicacién para soportar la cestratogia de la organizacién. Los componentes del sistema de informacién (incluyendo los componentes de infraestructura de la tecnologia) son luego empatados con las aplicaciones (por ejemplo, el valor de tuna computadora o una red esta determinado por fa importancia del sistema de aplicacién que la usa) ‘Una vez que la evaluacién del riesgo identifica el valor de los componentes de SI de la organizacisn, se puede desarrollar un plan para establecer ia criticidad de los sistemas en la mayoria de los métodos apropiados para su recuperacién. ‘Nota: El candidato a CISA nio seré examiniado sobre el céiculo real del andlisis del riesgo; sin embargo, el auditor de SI debe estar familiarizado con el céleulo de andlisis del riesgo. Un plan de continuidad del negocio es mucho més que séto un plan para fos sistemas de informacién, Un plan de continuidac del negocio identifica to que el negocio hard en el easo de un desastre, Por ejemplo, zdl6nde se presentarén a teabgjar los empleados?, ge6mo se recibirén las érdenes mientras el sistema de ‘edmputo se esté restableciendo?, {qué proveedores deberdn ser llamados para que provean los suministros que se necesiten? Un subeomponente del plan de continuidad del negocio es el plan de recuperacién de desastre de TI. Este, tipicamente detalla el proceso que el personal de TI utilizard para restablecer los sistemas de cémputo, Los planes de recuperacién de desasire pueden estar incluidos en el plan de ccontinuidad del negocio 0 como un documento completamente separado, dependiendo de las necesidades del negocio. Manual de Preparacidn al Examen CISA 2008 wT