AUDITORIAS ESPECIFICAS BCP Data Center SAP Reinel Tabares Soto

AGENDA Que es BCP Plan de Auditoria BCP Que es un Data Center Plan de Auditoria en un Data Center Que es SAP Plan de Auditoria en SAP

BCP BCP(Planificación de la continuidad del negocio) es un plan de procedimientos alternativos a la forma tradicional de operar de la empresa y es una herramienta que ayuda a que los procesos que se consideran críticos para la organización continúen funcionando en una situación extraordinaria, a pesar de una situación incontrolable en el entorno. Un plan de continuidad del negocio, se enfoca en sostener las funciones del negocio de una entidad durante y después de una interrupción a los procesos críticos del negocio.

Características y ciclo de vida de BCP Claridad Fácil entendimiento Concreto Eficiente Integral Continuo El BCP es para toda la organización, y no debe descansar sólo en el nivel directivo, ya que quien opera es el grupo que debe estar más inmerso en el entendimiento y aplicación del mismo.

Planes que complementan BCP 1. Plan de comunicación de crisis: documento que contiene los procedimientos internos y externos que las organizaciones deben preparar ante un desastre. Este plan debe estar coordinado con los demás planes para asegurar que sólo comunicados aprobados sean divulgados y que solamente personal autorizado sea el responsable de responder las diferentes inquietudes y de diseminar los reportes de estado al personal y al público.   2. Planes de evacuación por edificio: contiene los procedimientos que deben seguir los ocupantes de una instalación o facilidad en el evento en que una situación se convierta en una amenaza potencial a la salud y seguridad del personal, el ambiente o la propiedad. Tales eventos podrían incluir fuego, terremoto, huracán, ataque criminal o una emergencia médica. 3. Plan de continuidad de operaciones (COOP): Orientado a restaurar las funciones esenciales de una sede o filial de la entidad (Ejemplo: una agencia, la fábrica, el almacén de ventas) en una sede alterna y realizar aquellas funciones por un período máximo de 30 días antes de retornar a las operaciones normales. Debido a que un COOP se enfoca en sedes o filiales, debe ser desarrollado y ejecutado independientemente del BCP. Interrupciones menores que no requieren reubicación en una sede alterna típicamente no son cubiertas en un COOP. 4. Plan de respuesta a ciber-incidentes: Establece procedimientos para responder a los ataques en el ciberespacio contra un sistema de Tecnología Informática (TI) de una entidad. Estos procedimientos son diseñados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes de cómputo maliciosos tales como: Acceso no autorizado a un sistema o dato, Negación de servicio, Cambios no autorizados a HW, SW o datos. 5. Planes de contingencia de TI: orientado a ofrecer un método alterno para sistemas de soporte general y para aplicaciones importantes Debido a que un Plan de contingencia de TI debe ser desarrollado por sistema de soporte general y por cada aplicación importante, existirán múltiples planes de contingencia. 6. Plan de recuperación de desastres (DRP): Orientado a responder a eventos importantes, usualmente catastróficos que niegan el acceso a la facilidad normal por un período extendido. Frecuentemente, el DRP se refiere a un plan enfocado en TI diseñado para restaurar la operabilidad del sistema, aplicación o facilidad de cómputo objetivo en un sitio alterno después de una emergencia. El alcance de un DRP puede solaparse con el de un Plan de Contingencia de TI; sin embargo, el DRP es más amplio en alcance y no cubre interrupciones menores que no requieren reubicación. 7. Plan de recuperación del negocio: Permite restaurar un proceso de negocio después de una emergencia, pero al contrario del BCP, carece de procedimientos para asegurar la continuidad de procesos críticos durante una emergencia o interrupción. Productos que componen el Plan de Continuidad (BCP, DRP)

Plan de Auditoria en BCP Con el fin de llevar a cabo la auditoria específica referente a BCP, se ejecutara el siguiente programa: 1. Investigación Preliminar. 2. Identificación y Agrupación de Riesgos 3. Evaluación de la Continuidad en la empresa objeto de la Auditoría 4. Diseño de Pruebas de Auditoría 5. Ejecutar Pruebas de Auditoría 6. Elaboración de Informe de Auditoría 7. Seguimiento.

Plan de Auditoria en BCP   1. Investigación preliminar En esta etapa se determinará si la empresa cuenta con un Plan de Continuidad del Negocio, con el fin de estimar el alcance de la auditoria. Se llevara a cabo una revisión general y una visita a la empresa, para definir los pasos a seguir. Alcance de la Auditoria. Las herramientas y mecanismos a utilizar para llevar a cabo esta investigación preliminar son: Entrevistas previas con el cliente. Revisión de las instalaciones donde se realizara la auditoria.   Investigación de los funcionarios que analizaron y elaboraron el plan de continuidad del negocio. Revisión de documentación proporcionada por la empresa. Estudio y evaluación del sistema de control interno. Conocimiento de los planes existentes en la empresa: Recopilación de información referente a los riesgos y estrategias que se definen en cada plan con el fin de identificar el nivel de preparación en el cual se encuentra la organización referente a situaciones que puedan provocar el paro de sus operaciones. Para esto se debe solicitar:   Plan de mitigación de Riesgos. Plan de Recuperación de Desastres Plan de Continuidad de Operaciones Plan de comunicación de crisis Plan de contingencia de TI Plan de recuperación del Negocio

Plan de Auditoria en BCP 2. Identificación y Agrupación de Riesgos Identificar y clasificar los riesgos a los que está expuesto la empresa que pueden afectar la continuidad del negocio. A continuación se listaran los riesgos que pueden afectar a la organización.   Desastres naturales inesperados dentro de la organización. Amenazas a los recursos de TI que comprenden el uso de información vital dentro de la empresa. Amenazas a la infraestructura Arquitectónica/Civil y de TI.

Plan de Auditoria en BCP 3. Evaluación de la Continuidad en la empresa objeto de la Auditoría   Se determinara si el Plan de Continuidad del Negocio o BCP considera todas las áreas de la empresa de manera integral incluso desde la estrategia, incorporando el DRP en conjunto con los elementos mínimos requeridos para continuar con la operación del negocio.

Plan de Auditoria en BCP 4. Diseño de Pruebas de Auditoría Los instrumentos que se utilizaron para hacer la auditoria fueron encuestas que constan de preguntas cerradas, preguntas abiertas y listas de chequeo. Técnica: Revisión documental

Plan de Auditoria en BCP FECHA   EMPRESA Colombiana de licores AUDITOR Reinel Tabares Soto TECNICA USADA Guía de Auditoria HERRAMIENTA USADA Encuesta PREGUNTAS CERRADAS No pregunta Si Ns Observación 1 ¿Existe en su empresa un plan de recuperación de desastres?   2 ¿El administrador y coordinador del plan es responsable en mantener dicho plan al día? 3 ¿Existe un equipo para la recuperación de desastres que reaccionen a una emergencia en medidas de acción inmediatas? PREGUNTAS ABIERTAS No pregunta Respuesta 1 ¿Si existe un plan, cuando fue la última vez que se actualizo?   2 ¿Indique cuáles son los procedimientos para la actualización del Plan de Continuidad del Negocio? 3 ¿Quién es el encargado en su empresa de la administración o la coordinación del plan? LISTA DE VERIFICACION No pregunta Cumple No cumple Observación 1 Se cuenta con un plan para gestionar los riesgos.   2 Se identifican los procesos críticos del negocio.

Plan de Auditoria en BCP 5. Ejecutar Pruebas de Auditoría Se ejecutan las pruebas anteriormente mencionadas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se está llevando en la administración del Plan de Continuidad del Negocio 6.Elaboración de Informe de Auditoría   El informe de auditoría busca comunicar a la organización los resultados de la evaluación y las pruebas ejecutadas, proporcionando mayor valor a la organización, informando si el Plan de Continuidad de Negocio es realmente efectivo en caso de su ejecución. 7.Seguimiento. Se verificará que los objetivos del BCP de la empresa se están cumpliendo y que estos contribuyen a minimizar la pérdida financiera de la compañía, y que se garantiza la calidad del servicio a los clientes.

DATA CENTER Cuando se habla del CPD, Centro de Procesos de Datos o Data Center estamos refiriéndonos a la ubicación donde se concentran todos los recursos necesarios para el procesamiento de información de una organización. La integración de las infraestructuras tecnológicas en un Data Center, permite automatizar la gestión de los recursos y convertir unas infraestructuras caóticas en algo gestionable y altamente automatizado con el consiguiente ahorro de recursos económicos.

Proceso de implementación

Plan de Auditoria en DATA CENTER Con el fin de llevar a cabo la auditoria específica referente a Data Center, se ejecutara el siguiente programa: 1. Investigación Preliminar. 2. Identificación y Agrupación de Riesgos 3. Evaluación de la Seguridad en la empresa objeto de la Auditoría 4. Diseño de Pruebas de Auditoría 5. Ejecutar Pruebas de Auditoría 6. Elaboración de Informe de Auditoría 7. Seguimiento.

Plan de Auditoria en Data Center 1. Investigación Preliminar. En esta etapa se llevará a cabo la definición de la preparación de los requerimientos técnicos de diseño de un Data Center. Se establecerá una matriz en donde se clasificaran los posibles alcances o proyecciones en un centro de Datos. Identificar si se dispone de una infraestructura tecnológica que permita que los servicios de TI estén alineados con el negocio y aporten valor al mismo. Alcance de la Auditoria. Las herramientas y mecanismos a utilizar para llevar a cabo esta investigación preliminar son:   Entrevistas previas con el cliente. Revisión de las instalaciones donde se realizara la auditoria.   Investigación de los funcionarios que diseñaron e implementaron el data center. Revisión de documentación proporcionada por la empresa. Estudio y evaluación de los planes de riesgos de la empresa

Plan de Auditoria en Data Center 2. Identificación y Agrupación de Riesgos   Consta de un análisis de la composición, uso y desempeño del centro de datos y el posterior levantamiento de información sobre la instalación eléctrica y de climatización, la evaluación de puntos críticos y puntos de fallas, la identificación de oportunidades, el diagnóstico y rediseño, a fin de identificar los riesgos para cada grupo identificado y diseñar instrumentos que permitan evaluar los aspectos planeados. A continuación se listaran los riesgos que pueden afectar a la organización.   Desastres naturales inesperados dentro de la organización. Amenazas a los recursos de TI que comprenden el uso de información vital dentro de la empresa. Amenazas a la infraestructura Arquitectónica/Civil y de TI. 3. Evaluación de la Seguridad en la empresa objeto de la Auditoría   Se determinara si el diseño y crecimiento existentes en la empresa, están dirigidos a buenas prácticas que optimicen su funcionamiento y que aplique las políticas y normativas internacionales, impulsando y respaldando el constante desarrollo del centro de computo.

Plan de Auditoria en Data Center 4. Diseño de Pruebas de Auditoría Los instrumentos que se utilizaron para hacer la auditoria fueron encuestas que constan de preguntas cerradas, preguntas abiertas y listas de chequeo. Técnica: Revisión documental

Plan de Auditoria en Data Center FECHA   EMPRESA Colombiana de licores AUDITOR Reinel Tabares Soto TECNICA USADA Guía de Auditoria HERRAMIENTA USADA Encuesta PREGUNTAS CERRADAS No pregunta Si Ns Observación 1 ¿En la empresa conoce la ubicación, cantidad y la garantía de sus equipos?   2 ¿La empresa realiza mantenimiento preventivo y eficaz a sus equipos? 3 ¿Cuándo se producen problemas con los equipos, estos son atendidos con el fin de minimizar los impactos que pueda ocasionar al negocio? PREGUNTAS ABIERTAS No pregunta Respuesta 1 ¿Cuáles son las posibilidades de recurrir a un backup en caso de situaciones tremendamente críticas?   2 ¿La información impresa que generan sus sistemas es la mínima y necesaria para evitar costos en papelería y distribución innecesaria así como el riesgo por robo de información? Justifique LISTA DE VERIFICACION No pregunta Cumple No cumple Observación 1 Consideración de un Data Center en el PETI   2 Identificación de riesgos del Data Center 3 Inversiones planeadas para el Data Center

Plan de Auditoria en Data Center 5. Ejecutar Pruebas de Auditoría Se ejecutan las pruebas anteriormente mencionadas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se está llevando en la administración del Data Center. 6.Elaboración de Informe de Auditoría   Comunicar a la organización los resultados de la auditoria, proporcionando mayor valor a la organización a través de un minucioso estudio de los sistemas eléctricos y de climatización que protegen al Data center, identificando deficiencias y oportunidades de mejora y ahorro. 7.Seguimiento. Se verificara que el centro de procesamiento de datos o Data Center este altamente protegido y que día a día se logre reducir el número de máquinas físicas, consiguiendo optimizar los recursos que se necesitan para la administración, gestión y mantenimiento de las mismas.

SAP SAP(Sistemas, Aplicaciones y Productos) comercializa un conjunto de aplicaciones de software para soluciones integradas de negocios, entre ellas mySAP Business Suite, que provee soluciones escalables que permiten mejorar continuamente, con más de 1.000 procesos de negocio consideradas las mejores prácticas empresariales y adaptables por módulos de cada aspecto de la administración empresarial. Podemos decir entonces que la principal razón por la que SAP ha tenido tanto éxito es porque su solución empresarial se trata de un paquete de software de aplicaciones estándar que puede configurarse en múltiples áreas de negocio y que se adapta a necesidades específicas de cada empresa. SAP ha liderado el mercado de los sistemas de información gerencial, especialmente el nicho de los ERP.

SAP SAP proporciona la oportunidad de sustituir un gran número de sistemas independientes, que se han desarrollado e instalado en organizaciones ya establecidas, con un solo sistema modular. Cada módulo realiza una función diferente, pero está diseñado para trabajar con otros módulos.

Plan de Auditoria en SAP Con el fin de llevar a cabo la auditoria específica referente a SAP, se ejecutara el siguiente programa: 1. Investigación Preliminar. 2. Identificación y Agrupación de Sistemas orientados a SAP 3. Evaluación de la Integridad en la empresa objeto de la Auditoría 4. Diseño de Pruebas de Auditoría 5. Ejecutar Pruebas de Auditoría 6. Elaboración de Informe de Auditoría 7. Seguimiento.

Plan de Auditoria en SAP 1. Investigación Preliminar. En esta etapa se determinará si la empresa cuenta con un sistema SAP, con el fin de estimar el alcance de la auditoria. Se llevara a cabo una revisión general y una visita a la empresa, para definir los pasos a seguir. Se conocerá de manera global los sistemas o módulos que conforman SAP y que tan integrados están con el fin de definir a que se le hará Auditoria e identificar los elementos que apoyan dichos planes. Alcance de la Auditoria. Las herramientas y mecanismos a utilizar para llevar a cabo esta investigación preliminar son: Entrevistas previas con el cliente. Revisión de las instalaciones y sistemas de información donde se realizara la auditoria. Investigación de los funcionarios que analizaron y adquirieron la plataforma SAP Revisión de documentación proporcionada por la empresa. Estudio y evaluación del sistema de información integrado bajo la plataforma SAP .

Plan de Auditoria en SAP 2. Identificación y Agrupación de sistemas orientados a SAP   Identificar si la empresa tiene implementado un sistema SAP y hasta qué punto a integrado los sistemas de información y como se hace la gestión del mismo. Observar a nivel general que módulos cuentan con SAP y como se administran. 3. Evaluación de la Integridad en la empresa objeto de la Auditoría Se determinara si SAP considera todas las áreas de la empresa de manera integral incluso desde la estrategia. Se examinará si existe modularidad e integridad de los sistemas que se consideran críticos para la organización y que por lo menos dichos sistemas estén implementados bajo la plataforma SAP.

Plan de Auditoria en SAP 4. Diseño de Pruebas de Auditoría Los instrumentos que se utilizaron para hacer la auditoria fueron encuestas que constan de preguntas cerradas, preguntas abiertas y listas de chequeo. Técnica: Revisión documental

Plan de Auditoria en SAP FECHA   EMPRESA Colombiana de licores AUDITOR Reinel Tabares Soto TECNICA USADA Guía de Auditoria HERRAMIENTA USADA Encuesta PREGUNTAS CERRADAS No pregunta Si Ns Observación 1 La empresa tiene la plataforma SAP implementada en sus sistemas de información?   2 La empresa tiene mentalidad integradora dentro de sus objetivos empresariales, políticas, misión y visión? 3 Los sistemas de información de TI de la empresa soportan todas las áreas en una escala global? PREGUNTAS ABIERTAS No pregunta Respuesta 1 De qué manera la alta dirección piensa la empresa como un todo, y cuál es la manera de integración?   2 La empresa cuenta con un módulo de logística? cómo funciona? LISTA DE CHEQUEO No pregunta Cumple No cumple Observación 1 Todos los registros del personal están automatizados y unificados.   2 La aminoración del personal de la empresa está gestionado por SAP 3 Todos los departamentos pueden tener acceso al módulo (PA) administración de personal SAP

Plan de Auditoria en Data Center 5. Ejecutar Pruebas de Auditoría Se ejecutan las pruebas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se está llevando en los sistemas SAP 6.Elaboración de Informe de Auditoría   Comunicar a la organización los resultados de la auditoria, Dejando claro el retorno de inversión que conlleva implementar un plataforma SAP, y cual es el nivel de madurez de la empresa en el uso de esta plataforma. 7.Seguimiento. Se verificara el nivel de madurez de la plataforma SAP en la empresa y como cada uno de los módulos faltantes por integrar se incorporaran a la plataforma además de como afectara el retorno de inversión.