AUDITORÍAS ESPECIFICAS: BCP, Datacenter y Gestión de disponibilidad y capacidad Andrés Quintero Arias 2015
2 BCP
BCP (Plan de Continuidad del Negocio) Un plan de continuidad de negocio es un plan de cómo la organización debe proceder y restaurar sus funciones después de un desastre o interrupción no deseada. Incluye el diseño y aplicación de un plan de recuperación ante desastres (DRP) así como el plan de restablecimiento del negocio. Un plan de continuidad del negocio, se enfoca en sostener las funciones del negocio de una entidad durante y después de una interrupción a los procesos críticos del negocio. 3
El BCP sirve para? Definir pasos a seguir en caso de algún desastre Conocer los servicios que se tienen que reestablecer Saber que equipos de trabajo ejecutaran los planes Cuando, Cómo y en que Tiempo 4
Beneficios de tener un BCP Proteger al personal y los activos corporativos Asegurar la continuidad de las operaciones dentro del tiempo establecido Minimizar la toma de decisiones durante una contigencia Minimizar la posibilidad de perdida de información crítica para el negocio Garantizar al cliente atención ininterrumpida 5
6
BCP 7
PLAN DE AUDITORÍA BCP 1.Investigación Preliminar 2.Identificación y Agrupación de Riesgos 3.Evaluación de la continuidad de la empresa* 4.Diseño de Pruebas de auditoría 5.Ejecutar Pruebas de Auditoría 6.Elaboración de Informe de Auditoría 7.Seguimiento 8
1. Investigación Preliminar En esta Etapa se determinará si la empresa cuenta con un BCP con el fin de estimar el alcance de la auditoría. Se llevará a cabo una revisión general y una visita a la empresa, para definir los pasos a seguir 9
2. Identificación y Agrupación de Riesgos Identificar y Clasificar los riesgos a los que está expuesto la empresa que pueden afectar la continuidad del negocio. Desastres Naturales Amenazas a los recursos de TI 10
3. Evaluación de la continuidad de la empresa Se determinará si el Plan de Continuidad de Negocio considera todas las áreas de la empresa de manera integral incluso desde la estrategia, incorporando el DRP(Plan de Recuperación de Desastres) en conjunto con los elementos minimos requeridos para continuar con la operación del negocio 11
4. Diseño de Pruebas de Auditoría Los instrumentos que se utilizaron para hacer la auditoría fueron encuestas que constan de preguntas cerradas, preguntas abiertas y listas de chequeo 12
5. Ejecutar Pruebas de Auditoría Se ejecutan las pruebas anteriormente mencionadas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se esta llevando en la Administración del Plan de Continuidad del Negocio Cuestionario BCP 13
6. Elaboración de Informe de Auditoría El informe de auditoría busca comunicar a la organización los resultados de la evaluación y las pruebas ejecutadas, proporcionando mayor valor a la organización, informando si el Plan de Continuidad de Negocio es realmente efectivo en caso de su ejecución. 14
6. Elaboración de Informe de Auditoría El informe de auditoría busca comunicar a la organización los resultados de la evaluación y las pruebas ejecutadas, proporcionando mayor valor a la organización, informando si el Plan de Continuidad de Negocio es realmente efectivo en caso de su ejecución. 15
7. Seguimiento Se verificará que los objetivos del BCP de la empresa se están cumpliendo y que estos contribuyen a minimizar la pérdida financiera de la compañía, y que se garantiza la calidad del servicio al cliente. 16
17 DATACENTER
QUE ES UN DATACENTER? Un Centro de Procesamiento de Datos (CPD) es el conjunto de recursos físico, lógicos, y humanos necesarios para la organización, realización y control de las actividades informáticas de una empresa. La integración de las infraestructuras tecnológicas en un Data Center, permite automatizar la gestión de los recursos y convertir unas infraestructuras caóticas en algo gestionable y altamente automatizado con el consiguiente ahorro de recursos económicos 18
Proceso de Implementación 19
PLAN DE AUDITORÍA DATACENTER 1.Investigación Preliminar 2.Identificación y Agrupación de Riesgos 3.Evaluación de la continuidad de la empresa* 4.Diseño de Pruebas de auditoría 5.Ejecutar Pruebas de Auditoría 6.Elaboración de Informe de Auditoría 7.Seguimiento 20
1. Investigación Preliminar En esta Etapa se llevara a cabo la definición de la preparación de los requerimientos técnicos de diseño de un DataCenter. Se establecerá una matriz en donde se clasificaran los posibles alcances o proyecciones en un centro de Datos. Identificar si se dispone de una infraestructura tecnológica que permita que los servicios de TI estén alineados con el negocio y aporten valor al mismo. 21
2. Identificación y Agrupación de Riesgos Consta de un análisis de la composición, uso y desempeño del centro de datos y el posterior levantamiento de información sobre la instalación eléctrica y de climatización, la evaluación de puntos críticos y puntos de fallas, la identificación de oportunidades, el diagnóstico y el rediseño, a fin de identificar los riesgos para cada grupo identificado y diseñar instrumentos que permitan evaluar los aspectos planeados. 22
4. Diseño de Pruebas de Auditoría Los instrumentos que se utilizaron para hacer la auditoría fueron encuestas que constan de preguntas cerradas, preguntas abiertas y listas de chequeo 23
5. Ejecutar Pruebas de Auditoría Se ejecutan las pruebas anteriormente mencionadas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se esta llevando en la Administración del Data Center Cuestionario DataCenter 24
6. Elaboración de Informe de Auditoría Comunicar a la organización los resultados de la auditoria, proporcionando mayor valor a la organización a través de un minucioso estudio de los sistemas eléctricos y de climatización que protegen al Data center, identificando deficiencias y oportunidades de mejora y ahorro. 25
6. Elaboración de Informe de Auditoría El informe de auditoría busca comunicar a la organización los resultados de la evaluación y las pruebas ejecutadas, proporcionando mayor valor a la organización, informando si el Plan de Continuidad de Negocio es realmente efectivo en caso de su ejecución. 26
7. Seguimiento Se verificara que el centro de procesamiento de datos o Data Center este altamente protegido y que día a día se logre reducir el número de máquinas físicas, consiguiendo optimizar los recursos que se necesitan para la administración, gestión y mantenimiento de las mismas. 27
BAI04: Gestionar la Disponibilidad y la Capacidad 28
Gestión de la Disponibilidad y Capacidad La Gestión de la Disponibilidad se ocupa de optimizar y monitorear los servicios TIC para que funcionen ininterrumpidamente de manera confiable a un costo razonable, y la Gestión de la Capacidad asegura que todos los servicios estén respaldados por recursos físicos y lógicos correctamente dimensionados (procesamiento, almacenamiento, conectividad, etc.) Cuestionario BAI04 29