| Recuperación
de desastres. El objetivo de esta
revisión es analizar y evaluar las políticas
y procedimientos relacionados a la
planificación de contingencia para asegurar
la capacidad del ente para responder
eficazmente ante desastres y otras
situaciones de emergencia. Para conseguirlo,
el equipo de auditoría realiza lo siguiente:
a) Revisión
del plan de contingencia
Primero es
necesario obtener una copia del plan o manual
de recuperación de desastre y hacer lo
siguiente: Realizar un muestreo de las copias
distribuidas del manual y verificar que están
actualizadas. Evaluar la eficacia de los
procedimientos documentados para iniciar el
esfuerzo de recuperación de desastre, planteándose
preguntas como las siguientes:
1) ¿Identifica
el plan los puntos de reunión del comité de
administración de desastre o del equipo de
administración de emergencia para que se reúnan
y decidan si debe iniciarse la recuperación
de desastre?
2) ¿Son
adecuados los procedimientos documentados
para una recuperación exitosa?
3) ¿Trata el
plan de desastres de diverso grado?
Revisar la
identificación y el soporte planificado de
las aplicaciones críticas, incluyendo
sistemas basados en Pc o desarrollados por
usuarios finales para esto:
1) Determine
si se han revisado todas las aplicaciones en
busca de su nivel de tolerancia en caso de un
desastre.
2) Determine
si se han identificado todas las aplicaciones
críticas, (incluyendo aplicaciones en PC).
3) Determine
si en el "Hot Site" tiene las
versiones correctas de sistema operativo.
Revisar la
corrección e integridad de la lista de
personal de recuperación de desastre,
contactos de emergencia con el "Hot Site",
contactos de emergencia con proveedores, etc.
1) En la
practica se sugiere realizar llamadas a una
muestra de la gente indicada y verifique que
los números de teléfono y domicilios son
correctos y que posean copia del manual de
recuperación de desastre.
2)
Entrevistar al personal para obtener una
comprensión de las responsabilidades que
tienen asignadas en una situación de
desastre.
Evaluar
procedimientos para actualizar el manual. ¿Se
aplican y distribuyen las actualizaciones de
manera oportuna?. ¿Existen responsabilidades
específicas respecto a mantener el manual
actualizado?.
Determinar si
los elementos necesarios para la reconstrucción
de la instalación de procesamiento de
información se almacenan en otra sede (planos,
inventario de hardware, diagramas de cableado,
etc.
b) Evaluación
del almacenamiento en sede alternativa.
Debe
evaluarse la instalación de almacenamiento
en sede alternativa para asegurarse de la
presencia, sincronización y actualización
de los medios magnéticos y documentación críticas.
Ello incluirá archivos de datos, software de
aplicaciones, documentación de aplicaciones,
software de sistemas, documentación de
sistemas, documentación de operaciones,
insumos necesarios, formularios especiales, y
una copia del plan de contingencia. Para
verificar las condiciones que se mencionaron,
el auditor de sistemas debe realizar un
examen detallado de inventario. Ese
inventario debe incluir poner a prueba los
nombres de correctos de los archivos,
identificación de cintas o cassettes,
ubicación correcta en los depósitos de las
cintas o cassettes así como una revisión de
la documentación y verificar que corresponda
con documentación actualizada.
c) Revisión
de cobertura de seguros.
Es esencial
que la cobertura de seguros refleje el costo
actual de la recuperación, por ende debe
revisarse la adecuación de la cobertura de
seguros para daños a medios magnéticos,
interrupción de negocio, reemplazo del
equipo, y procesamiento de contingencia. A
fin de determinar la adecuación, obtenga una
copia de las pólizas de seguros de la
empresa y evalúe la adecuación de la
cobertura.
d) Conocimientos
de los procedimientos de recuperación por
parte del personal.
El auditor de
sistemas debe entrevistar al personal clave
que se necesita para la recuperación con éxito
de las operaciones del negocio. Todo el
personal clave debe tener una comprensión de
las responsabilidades asignadas, así como
documentación detallada y actualizada que
describe sus tareas.
e) Seguridad
física en la instalación en sede
alternativa.
Debe
evaluarse la seguridad física en la
instalación alternativa, para asegurarse de
que tiene controles de acceso como ambientes
apropiados, tales controles incluyen la
capacidad de limitar el acceso solo a los
usuarios autorizados de la instalación, piso
sobre elevado, controles de humedad,
controles de temperatura, circuitos
especializados, fuente ininterrumpida de
energía, dispositivos de detección de agua,
detectores de humo y un sistema adecuado de
extinción de incendios. El auditor de
sistemas debe hacer un examen del equipo en
busca de etiquetas de inspección y calibración
vigentes.
f) Examen
del contrato de procesamiento alternativo.
Debe
revisarse el contrato con el proveedor de la
instalación de procesamiento alternativo,
teniendo en cuenta lo siguiente: Que el
proveedor sea confiable y de prestigio. Que
el proveedor ponga por escrito todo lo que
promete. Asegurarse de que el contrato es
claro y es comprensible para un Juez.
Asegurarse de que se puede continuar
trabajando con las reglas que son aplicables
cuando se tenga que compartir la sede con
otros suscriptores. Asegurarse que la
cobertura de seguro se vincula y cubre todos
o la mayoría de gastos del desastre. Prestar
atención a los requerimientos de
comunicaciones para la sede alternativa.
|