2.13 Auditoría de Continuidad del Negocio Entender y evaluar la estrategia de continuidad del negocio Evaluar los planes de continuidad del negocio para determinar si son adecuados y están actualizados Verificar la efectividad de los planes Evaluar el almacenamiento en el sitio alterno Evaluar la capacidad del personal usuario y de SI para responder con eficacia Asegurar que el proceso de mantenimiento de los planes esté implantado y vigente Evaluar la legibilidad de los manuales y procedimientos de continuidad del negocio Notas para el Instructor: Use esta diapositiva para presentar el tema de cómo auditar el plan de continuidad de negocios. Cada uno de los puntos de esta diapositiva son explicados en detalle en las siguientes diapositivas.   Páginas de Referencia del Manual de Preparación: Págs. 132

2.13.1 Revisión del Plan de Continuidad del Negocio Los Auditores de SI deben verificar que sean evidentes los elementos básicos de un buen plan incluyendo: Actualización de los documentos Efectividad de los documentos Entrevistar al personal para verificar si el plan es apropiado y completo Notas para el Instructor: Lidere una discusión presentando las siguientes preguntas: ¿Quién es responsable de la administración o coordinación del plan? ¿Es el administrador /coordinador del plan responsable de mantener el plan actualizado? ¿Hay un equipo de implementación de la recuperación de desastre (i.e., los primeros miembros de equipo de respuesta que reaccionarán a la emergencia con pasos de acción inmediata)? ¿Dónde se almacena el plan de recuperación de desastre? ¿Qué sistemas críticos están cubiertos por el plan? ¿Qué sistemas no están cubiertos por el plan? ¿Por qué no? ¿Qué equipo no está cubierto por el plan? ¿Por qué no? ¿El plan opera bajo algún supuesto? ¿Cuáles son? ¿Identifica el plan los puntos de encuentro del comité de administración de desastres o del equipo de administración de emergencias para que se reúnan y decidan si se debe activar el plan de continuidad del negocio? ¿Son los procedimientos documentados adecuados para una recuperación exitosa? ¿Considera el plan diferentes grados de desastres? ¿Se consideran en el plan los respaldos para las telecomunicaciones? (Incluyendo los respaldos de líneas para comunicación de voz y de datos) ¿Dónde está el sitio de la facilidad de respaldo? ¿Considera el plan la reubicación a una nueva instalación de procesamiento de información en el caso de que no se pueda restaurar el centro original? ¿Incluye el plan procedimientos para cruzar los datos de archivos principales, los datos automatizados del sistema de administración de cintas, etc., con los archivos recogidos previos al desastre?   Páginas de Referencia del Manual de Preparación: Págs. 132- 133

2.13.2 Evaluación de los Resultados de Pruebas Anteriores El Auditor de SI debe revisar los resultados de las pruebas para: Determinar que se hayan incorporado al plan las acciones correctivas Evaluar cumplimiento y precisión Determinar las tendencias de problemas y las resoluciones de los problemas Páginas de Referencia del Manual de Preparación: Págs. 133

2.13.3 Evaluación del Almacenamiento externo El auditor de SI debe: Evaluar la presencia, sincronización y vigencia de los medios y de la documentación Realizar una revisión detallada del inventario Revisar toda la documentación Evaluar la disponibilidad de la instalación Revisar el método de transporte de los respaldos de datos Contenido a enfatizar: El sitio de almacenamiento externo debe ser evaluado para asegurar la presencia, sincronización y vigencia de los medios y de la documentación críticos.   Páginas de Referencia del Manual de Preparación: Págs. 133

2.13.4 Entrevistas al Personal Clave El personal clave debe tener un entendimiento de las responsabilidades que se le han asignado Se debe mantener documentación detallada y actualizada Páginas de Referencia del Manual de Preparación: Págs. 133

2.13.5 Evaluación de Seguridad en Instalaciones externas El auditor de SI debe: Evaluar los controles de acceso físico y ambiental Examinar el equipo para verificar si tiene actualizadas las tarjetas de inspección y de calibración Páginas de Referencia del Manual de Preparación: Págs. 134

2.13.6 Revisión de Contrato de Procesamiento Alternativo El Auditor de SI debe obtener una copia del contrato con el proveedor del sitio de procesamiento alterno Se debe revisar el contrato contra los lineamientos siguientes: El contrato está redactado con claridad y es comprensible Acuerdo de la organización con las reglas definidas Contenido a enfatizar: Asegurar que el contrato esté redactado con claridad y sea comprensible Reexaminar y confirmar los acuerdos de la organización con las reglas que se apliquen a los sitios compartidos con otros suscriptores. Asegurar que la cobertura del seguro se ajuste a los costos del desastre y cubra la totalidad (o la mayor parte) de los mismos. Asegurarse de que se puedan realizar pruebas en el Hot site a intervalos regulares. Revisar y evaluar los requerimientos de comunicación para el sitio de respaldo. Asegurarse de que el documento de depósito en garantía (en fideicomiso) establecido para el código de fuente sea revisado por un abogado que se especialice en tales contratos. Determinar el límite de tolerancia del recurso en el caso de la violación de un contrato   Páginas de Referencia del Manual de Preparación: Págs. 134

2.13.7 Revisión de la Cobertura del Seguro La cobertura del seguro debe reflejar el costo real de recuperación Se debe revisar que la cobertura de los siguientes temas sea adecuada: Daños de los medios Interrupción del Negocio Reemplazo de equipo Procesamiento de la continuidad del negocio Notas para el Instructor: El candidato a CISA debería saber qué disposiciones críticas necesitan ser incluidas dentro de las pólizas de seguro para salvaguardar a la organización Páginas de Referencia del Manual de Preparación: Págs. 134