stringtranslate.com

Auditoría de continuidad de negocio y recuperación ante desastres

Dada la creciente dependencia de las organizaciones de la tecnología de la información (TI) para ejecutar sus operaciones, la planificación de la continuidad del negocio (y su subconjunto, la planificación de la continuidad del servicio de TI ) cubre a toda la organización, mientras que la recuperación ante desastres se centra en la TI.

La auditoría de los documentos que cubren los planes de continuidad comercial y recuperación ante desastres (BCDR) de una organización proporciona una validación de terceros a las partes interesadas de que la documentación está completa y no contiene tergiversaciones materiales .

Descripción general

Los términos continuidad empresarial (BC) y recuperación ante desastres (DR), que suelen utilizarse juntos, son muy diferentes. BC se refiere a la capacidad de una empresa de continuar con las funciones y procesos empresariales críticos después de que se produzca un desastre, mientras que DR se refiere específicamente a las funciones de TI de la empresa, aunque sea un subconjunto de BC. [1] [2]

Métrica

El objetivo principal es proteger a la organización en caso de que todas o parte de sus operaciones y/o servicios informáticos queden parcial o totalmente inutilizables .

Un plan de DR que ilustra la cronología del RPO y el RTO con respecto a un incidente mayor (MI) .

Métricas de DR

La minimización del tiempo de inactividad y la pérdida de datos durante la recuperación ante desastres generalmente se mide en términos de dos conceptos clave:

El papel del auditor

Un auditor examina y evalúa

Documentación

Plan de recuperación ante desastres

Un plan de recuperación ante desastres ( DRP ) es un proceso documentado o un conjunto de procedimientos para ejecutar los procesos de recuperación ante desastres de una organización y recuperar y proteger una infraestructura de TI empresarial en caso de un desastre . [3] Es "una declaración integral de acciones consistentes que se deben tomar antes, durante y después de un desastre". [4] El desastre puede ser natural , ambiental o provocado por el hombre . Los desastres provocados por el hombre pueden ser intencionales (por ejemplo, un acto terrorista) o no intencionales (es decir, accidentales, como la rotura de una presa artificial o incluso "dedos gordos" -o comandos erróneos ingresados- en un sistema informático).

Tipos de planes

Aunque no existe un plan único para todos, [5] existen tres estrategias básicas: [3] [5]

  1. Prevención, incluyendo copias de seguridad adecuadas, protectores de sobretensión y generadores
  2. detección, un subproducto de las inspecciones de rutina, que puede descubrir nuevas amenazas (potenciales)
  3. Corrección [6]

Esto último puede incluir la obtención de pólizas de seguro adecuadas y la celebración de una sesión de intercambio de ideas sobre las lecciones aprendidas. [3] [7]

Mejores prácticas

Para maximizar su eficacia, los DRP son más eficaces cuando se actualizan con frecuencia y deben:

La organización debe conservar registros adecuados. El auditor examina los registros , las facturas y los contratos para verificar que se mantengan. Uno de esos registros es una lista actualizada de los proveedores de hardware y software de la organización . Dicha lista se elabora y actualiza periódicamente para reflejar las prácticas comerciales cambiantes y como parte de un sistema de gestión de activos de TI . Se almacenan copias de la misma dentro y fuera de las instalaciones y se ponen a disposición o son accesibles para quienes las necesitan. Un auditor prueba los procedimientos utilizados para cumplir este objetivo y determina su eficacia.

Relación con los BCP

La recuperación ante desastres es un subconjunto de la continuidad empresarial. Mientras que la DRP abarca las políticas, herramientas y procedimientos para permitir la recuperación de datos después de un evento catastrófico, la BCP implica mantener todos los aspectos de una empresa en funcionamiento independientemente de posibles eventos disruptivos. Como tal, un plan de continuidad empresarial es una estrategia organizacional integral que incluye la DRP, así como la prevención de amenazas, la detección, la recuperación y la reanudación de las operaciones en caso de que se produzca una violación de datos u otro evento de desastre. Por lo tanto, la BCP consta de cinco planes de componentes: [8]

Los tres primeros componentes (plan de reanudación de las actividades, de emergencia para los ocupantes y de continuidad de las operaciones) no abordan la infraestructura de TI. El plan de gestión de incidentes (IMP) sí aborda la infraestructura de TI, pero dado que establece la estructura y los procedimientos para abordar los ataques cibernéticos contra los sistemas de TI de una organización, generalmente no representa un agente para activar el DRP; por lo tanto, el DRP es el único componente del BCP de interés activo para TI. [8]

Pruebas

La categorización general de las pruebas se basa en funciones y discusiones. Los tipos de pruebas incluyen: ejercicios de mesa, [9] listas de verificación, simulaciones, procesamiento paralelo (prueba del sitio de recuperación mientras el sitio principal está en funcionamiento) y pruebas de interrupción total (conmutación por error). [10] [11] Estas se aplican tanto a BC como a DR.

Beneficios

Como ocurre con cualquier plan de seguros, existen beneficios que se pueden obtener de una adecuada planificación de la continuidad del negocio, entre ellos: [4] Los estudios han demostrado una correlación entre un mayor gasto en honorarios de auditoría y menores tasas de incidentes . [12]

Metodología de planificación y pruebas

Según Geoffrey H. Wold del Disaster Recovery Journal, todo el proceso involucrado en el desarrollo de un Plan de Recuperación ante Desastres consta de 10 pasos: [4]

Las pruebas iniciales se pueden planificar y se realizan en secciones y después del horario laboral habitual para minimizar las interrupciones. Las pruebas posteriores se realizan durante el horario laboral habitual.

Advertencias/controversias

Debido a su alto costo, varios planes no están exentos de críticas. Dell ha identificado cinco "errores comunes" que las organizaciones suelen cometer en relación con la planificación de BCP/DR: [13]

Decisiones y estrategias

Designación del sitio : elección de un sitio de respaldo . Un sitio caliente está completamente equipado para reanudar las operaciones, mientras que un sitio frío no tiene esa capacidad. Un sitio templado tiene la capacidad de reanudar algunas operaciones, pero no todas.

Es necesario un análisis costo-beneficio .

Copia de seguridad de datos : una auditoría de los procesos de copia de seguridad determina si (a) son eficaces y (b) si el personal involucrado los está implementando realmente. [14] [15] El plan de recuperación ante desastres también incluye información sobre la mejor manera de recuperar los datos que no se hayan copiado. Se implementan controles y protecciones para garantizar que los datos no se dañen, alteren o destruyan durante este proceso.

Simulacros : Se realizan simulacros de práctica periódicamente para determinar la eficacia del plan y determinar qué cambios pueden ser necesarios. La principal preocupación del auditor en este caso es verificar que estos simulacros se estén realizando correctamente y que se aborden los problemas detectados durante ellos.

Respaldo de personal clave , incluyendo capacitación periódica , capacitación cruzada y redundancia de personal.

Otras consideraciones

Problemas de seguros

El auditor determina la idoneidad de la cobertura de seguros de la empresa (en particular, el seguro de daños materiales y accidentes ) mediante una revisión de las pólizas de seguros de la empresa y otras investigaciones. Entre los elementos que el auditor necesita verificar se encuentran: el alcance de la póliza (incluidas las exclusiones establecidas), que el monto de la cobertura sea suficiente para cubrir las necesidades de la organización y que la póliza esté vigente. El auditor también comprueba, mediante una revisión de las calificaciones asignadas por agencias de calificación independientes, que la compañía o compañías de seguros que brindan la cobertura tengan la viabilidad financiera para cubrir las pérdidas en caso de un desastre.

Los planes de recuperación ante desastres eficaces tienen en cuenta el alcance de las responsabilidades de una empresa con otras entidades y su capacidad para cumplir con esos compromisos a pesar de un desastre importante. Una buena auditoría de recuperación ante desastres incluirá una revisión de los acuerdos de asociación y los contratos existentes para garantizar que se minimice la responsabilidad legal de la organización por falta de desempeño en caso de desastre o cualquier otra circunstancia inusual. También se describen los acuerdos relacionados con el establecimiento de apoyo y la asistencia para la recuperación de la entidad. Las técnicas utilizadas para evaluar esta área incluyen un examen de la razonabilidad del plan, una determinación de si el plan tiene en cuenta o no todos los factores y una verificación de la razonabilidad de los contratos y acuerdos mediante documentación e investigación externa.

Problemas de comunicación

El auditor debe verificar que la planificación garantice que tanto la gerencia como el equipo de recuperación cuenten con hardware de comunicación efectivo , información de contacto tanto para comunicación interna como para asuntos externos, como socios comerciales y clientes clave.

Las técnicas de auditoría incluyen

Procedimientos de emergencia

En cualquier buen plan de recuperación de desastres se incluyen procedimientos para mantener al personal durante un esfuerzo de recuperación de desastres las 24 horas del día. Los procedimientos para el almacenamiento de alimentos y agua, las capacidades de administrar RCP / primeros auxilios y para hacer frente a emergencias familiares están claramente escritos y probados. Esto generalmente lo puede lograr la empresa mediante buenos programas de capacitación y una definición clara de las responsabilidades laborales. Una revisión de la capacidad de preparación de un plan a menudo incluye tareas como consultas al personal, observación física directa y examen de los registros de capacitación y cualquier certificación.

Cuestiones medioambientales

El auditor debe revisar los procedimientos que tengan en cuenta la posibilidad de fallas de energía u otras situaciones que no sean de naturaleza informática.

Véase también

Referencias

  1. ^ Susan Snedaker (2013). Planificación de la continuidad empresarial y la recuperación ante desastres para profesionales de TI (2.ª edición). Burlington: Elsevier Science. ISBN 9780124114517.
  2. ^ "¿Cuál es la diferencia entre recuperación ante desastres y continuidad del negocio?". Cloudian . 2019-11-25.
  3. ^ abc Bill Abram (14 de junio de 2012). "5 consejos para crear un plan de recuperación ante desastres eficaz". Small Business Computing . Consultado el 9 de agosto de 2012 .
  4. ^ abc Wold, Geoffrey H. (1997). "Proceso de planificación de recuperación ante desastres". Disaster Recovery Journal . Adaptado del volumen 5, n.° 1. Disaster Recovery World. Archivado desde el original el 15 de agosto de 2012. Consultado el 8 de agosto de 2012 .
  5. ^ ab "Planificación de recuperación ante desastres: guía paso a paso". Universidad Estatal de Michigan. Archivado desde el original el 8 de marzo de 2014. Consultado el 9 de mayo de 2014 .
  6. ^ "Backup Disaster Recovery". Archivado de correo electrónico y copia de seguridad remota. 2010. Archivado desde el original el 22 de enero de 2013. Consultado el 9 de mayo de 2014 .
  7. ^ "Planes de recuperación ante desastres y continuidad empresarial". Stone Crossing Solutions. 2012. Archivado desde el original el 23 de agosto de 2012. Consultado el 9 de agosto de 2012 .
  8. ^ ab Chad Bahan. (junio de 2003). "El plan de recuperación ante desastres" . Consultado el 24 de agosto de 2012 .
  9. ^ "Guía de programas de prueba, capacitación y ejercicios para planes y capacidades de TI" (PDF) . NIST . pág. 21.
  10. ^ "¿Cuál es la diferencia entre un ejercicio de mesa, un simulacro, un ejercicio funcional y un ejercicio a gran escala?".
  11. ^ "Programa de evaluación y ejercicios de seguridad nacional (HSEEP)" (PDF) . Seguridad nacional. Enero de 2020.
  12. ^ Li, He; No, Won Gyun; Boritz, J. Efrim (24 de noviembre de 2021). "¿Están los auditores externos preocupados por la divulgación de riesgos cibernéticos?". Auditoría: una revista de práctica y teoría . doi :10.2139/ssrn.2880928. S2CID  168198159.
  13. ^ Cormac Foster; Dell Corporation (25 de octubre de 2010). "Cinco errores que pueden acabar con un plan de recuperación ante desastres". Archivado desde el original el 16 de enero de 2013. Consultado el 8 de agosto de 2012 .
  14. ^ Constance Gustke (7 de octubre de 2015). "El huracán Joaquín destaca la importancia de los planes para seguir operando". The New York Times .
  15. ^ Berman, Alan. : Cómo elaborar un plan de continuidad empresarial eficaz. Business Insurance Magazine , 9 de marzo de 2015. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan