Continuidad

de Negocio y
Recuperación
de Desastres
Auditoría a la Continuidad de
Negocios
 Auditoria al BCP
• Entender y evaluar la estrategia de continuidad de negocios
y su conexión a los objetivos de negocios

• Revisar el BIA para asegurar que reflejan las prioridades de

negocios

• Evaluar el BCP para determinar su eficacia

• Evaluar el almacenamiento offsite

• Verificar el transporte de backups

 Auditoria al BCP
• Evaluar la habilidad del personal para
responder efectivamente en situaciones de
emergencia

• Asegurar que el plan sea mantenido

• Evaluar los planes y si estos estan escritos de

manera sencilla y si son fáciles de entender.
 Revisión del BCP
• Revisión de la documentación
• Revisión de las aplicaciones incluidas en el plan
• Revisión de los equipos de continuidad de
negocios
• Pruebas del plan
• Consideraciones adicionales
 Revisión de la documentación
• Obtener una copia de:
• La estrategia y política de continuidad de negocio
• BCP.
• BIA, RTO y RPO.
• Verificar la actualización de los ejemplares distribuidos
del plan.
• Verificar si el BCP apoya a la estrategia de continuidad
de negocios.
• Evaluar la eficacia de los procedimientos para la
ejecución del BCP.
• Evaluar los procedimiento de actualización.
 Revisión de las aplicaciones
• Revise la identificación, prioridad y soporte
previsto de aplicaciones críticas (stand-alone,
C/S, web)
• Determinar si todas las aplicaciones han sido
revisadas por su nivel de tolerancia en el caso
de un desastre.
• Determinar si todas las aplicaciones críticas
han sido identificadas.
 Revisión de las aplicaciones
• Determinar que el sitio de respaldo tenga las
versiones correctas de todo el software del
sistema.
• Verificar que todo el software es compatibles,
ya que de lo contrario, el sistema no será capaz
de procesar los datos de producción durante la
recuperación.
 Revisión de los equipos de
continuidad
• Obtener la lista de miembros de cada equipo.
• Obtener una copia de los acuerdos relacionados con la
utilización del sitio de respaldo.
• Revisar la lista de personal involucrado.
• Muestrear y llamar a las personas involucradas y
verificar que sus teléfono y direcciones son correctos,
y que cuentan con una copia del plan.
• Entrevistar al personal para determinar su
comprensión de las responsabilidades asignadas en
caso de desastre.
 Revisión del plan
• Evaluar los procedimientos de documentación
de las pruebas.
• Revisar los procedimientos de respaldo
(backup).
• Determinar si los procedimientos de respaldo
y recuperación están siendo ejecutados.
 Evaluaciones
• Evaluar que los procedimientos escritos de emergencia
están completos, adecuados, precisos, actualizados y
son fáciles de entender.
• Identificar si las transacciones reingresadas al Sistema
a través del proceso de recuperación están separados
de las operaciones normales.
• Determinar si toda la recuperación / continuidad /
equipos de respuesta tienen procedimientos escritos a
seguir en caso de un desastre.
 Evaluaciones
• Determinar si existe un procedimiento adecuado
para la actualización de los procedimientos de
emergencia.
• Determinar si los procedimientos de
recuperación de usuarios están documentados.
• Determinar si el plan aborda adecuadamente el
traslado al sitio de recuperación.
• Determinar si el plan aborda adecuadamente la
recuperación desde el sitio de recuperación.
 Evaluaciones
• Determinar si los elementos necesarios para la
reconstrucción (planos, inventario de
hardware, diagramas) se almacenan fuera del
sitio.