Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Microsoft PowerPoint - Auditoria Plan de Continuidad BCP DRP PDF
Microsoft PowerPoint - Auditoria Plan de Continuidad BCP DRP PDF
1.
1. Objetivos
2.
2. Qué auditar?
3.
3. Rol del Auditor
4.
4. Cómo auditar?
5.
5. Porqué Auditar?
6.
6. Conclusiones
7.
7. Preguntas
SISTESEG CORPORATION
Objetivos
SISTESEG CORPORATION
Qué auditar?
SISTESEG CORPORATION
Qué auditar?
SISTESEG CORPORATION
Qué auditar?
Visión de COBIT
SISTESEG CORPORATION
Qué auditar?
Visión de COBIT
SISTESEG CORPORATION
Qué auditar?
Visión de COBIT
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
Framework de Continuidad de TI
La Gerencia de TI, en cooperación con los propietarios de los procesos de
negocio, debe:
Establecer un framework de continuidad
SISTESEG CORPORATION
Modelos de Seguridad de la Información
ISO-17799 – Componentes de un framework de seguridad
Organización de la
Política de Seguridad
Seguridad
Control y clasificación de
Seguridad del personal
activos
Administración de las
Seguridad física y ambiental comunicaciones y
operaciones
Desarrollo y
Control de acceso mantenimiento de
sistemas
Administración de la
Cumplimiento
continuidad del negocio
SISTESEG CORPORATION
Modelos de Seguridad de la Informació
Información
NIST – SP800-
SP800- 34 - BCP
Contingency Planning Guide for Information Technology Systems, Recommendations of the National
Institute of Standards and Technology – NIST, June 2002
SISTESEG CORPORATION
Modelos de Seguridad de la Informació
Información
DRI - BCP
Fases:
Iniciación del Proyecto
Requerimientos Funcionales
Diseño y Desarrollo
Implementación
Pruebas y ejercicios
Mantenimiento y Actualización
Ejecución
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
Framework de Continuidad de TI
La Gerencia de TI, en cooperación con los propietarios de los procesos de
negocio, debe:
Establecer un framework de continuidad el cual define:
- Roles, tareas y responsabilidades (estructura organizacional)
Proyecto vs. Proceso
Personal interno y externo (usuarios y proveedores de
servicios)
SISTESEG CORPORATION
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
Framework de Continuidad de TI
La Gerencia de TI, en cooperación con los propietarios de los procesos de
negocio, debe:
Establecer un framework de continuidad el cual define:
- Roles, tareas y responsabilidades (estructura organizacional)
Proyecto vs. Proceso
Personal interno y externo (usuarios y proveedores de
servicios)
- Enfoque metodológico consistente basado en riesgos utilizar
Recursos críticos - Riesgos – Amenazas – Vulnerabilidades -
Contramedidas (eficacia vs. Niveles requeridos) –
Dependencias claves
- Reglas, estructuras y procedimientos para documentar, aprobar,
probar y ejecutar el Plan de Continuidad
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
Contenido del Plan de Continuidad de TI
Guías sobre como utilizar el Plan de Continuidad
Procedimientos de emergencia para asegurar la seguridad física de
todos los miembros del staff afectados
Procedimientos de respuesta definidos para permitirle al negocio
retornar al estado en que se encontraba antes del incidente o
desastre
Procedimientos de recuperación
Procedimientos para salvaguardar y reconstruir las instalaciones de
procesamiento normales
Procedimientos de coordinación con las autoridades públicas
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
CONCIENTIZACIÓN
EDUCACIÓN
La metodología de Continuidad ante desastres deberá asegurar que todas
las partes interesadas reciban sesiones de entrenamiento regulares con
respecto a los procedimientos y roles a ser seguidos en caso de un
incidente o un desastre
ENTRENAMIENTO
SISTESEG CORPORATION
Bueno, Gracias al Cielo salimos a tiempo...y ahora qué?
SISTESEG CORPORATION
Una imagen ….
Terrorismo
SISTESEG CORPORATION
Vulnerabilidades e Impactos
Por qué necesitamos Business Continuity Management?
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
Recursos Críticos de TI
El plan de continuidad deberá identificar los programas de aplicación,
servicios de terceros, sistemas operativos, personal, insumos,
archivos de datos que resultan críticos así como los tiempos
necesarios para la recuperación después de que se presenta un
desastre
Los datos y las operaciones críticas deben ser identificadas,
documentadas, priorizadas y aprobadas por los dueños de los
procesos del negocio, en cooperación con la Gerencia de TI
Los costos se deben mantener en niveles aceptables
Se deben considera requerimientos regulatorios y contractuales
Considerar requerimientos para lapsos diferentes: 1 a 4 horas, 4 a 24
horas, más de 24 horas y períodos operacionales críticos
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
Almacenamiento de respaldo en sitio alterno (Off-site)
El almacenamiento externo de copias de respaldo, documentación y otros
recursos de TI, catalogados como críticos, debe ser establecido para
soportar los planes de recuperación y continuidad de negocio.
Los propietarios de los procesos del negocio y el personal de la función de TI
deben involucrarse en determinar que recursos de respaldo deben ser
almacenados en el sitio alterno.
La instalación de almacenamiento externo debe contar con medidas
ambientales apropiadas para los medios y otros recursos almacenados; y
debe tener un nivel de seguridad suficiente, que permita proteger los
recursos de respaldo contra accesos no autorizados, robo o daño.
La Gerencia de TI debe asegurar que los acuerdos/contratos del sitio alterno
son periódicamente analizados, al menos una vez al año, para garantizar
que ofrezca seguridad y protección ambiental
Se debe asegurar la compatibilidad de hardware y software para restaurar
datos archivados, y periódicamente probar y refrescar datos archivados
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
COBIT
DS4- Asegurar el servicio continuo
SISTESEG CORPORATION
Rol del Auditor
Aprendiz
Capacitarse en estos temas
SISTESEG CORPORATION
Cómo Auditar?
Planeación
Evaluación de Controles
El Proceso de
Auditoría QA
Recolección y
evaluación de evidencia
Reporte y Seguimiento
SISTESEG CORPORATION
Planeación
SISTESEG CORPORATION
Identificar y Priorizar el Universo de
Objetos a Auditar
Contratación
Planeación Competitividad
Financiero
∑ (Valor + Riesgo)+
Desarrollo de Productos
Complejidad
Desarrollo de SW
Rentabilidad
Nuevos procesos o
Administración de la Continuidad Imagentecnologías
Seguridad
Calidad del SCI
Soporte
Cumplimiento
Fecha de la última visita
Seguridad
ERP
-
SISTESEG CORPORATION
Planeación
Alcance
Memo y Programa Objetivos
Planeación Auditoría Tipo de Auditoría
Extensión de pruebas
SISTESEG CORPORATION
Tipo de Auditoría
Verificación de cumplimiento
Comparación contra buena práctica
Certificación
Basada en Riesgos
Auditoría Puntual vs. Auditoría Continua
SISTESEG CORPORATION
COBIT 4.1 – IT Assurance Guide
Estructura de Aseguramiento
SISTESEG CORPORATION
SISTESEG CORPORATION
Definición del Alcance
Comparación contra buena práctica
Capability Maturity Model
SISTESEG CORPORATION
SISTESEG CORPORATION
Auditoría basada en riesgos
imponen
Propietarios
están
interesados
en
Contramedidas
Prácticas
reducen
de control
previenen evitan o
y detectan Riesgos mitigan
de
Escenarios de
dan origen a tienen
SISTESEG CORPORATION Vulnerabilidad / Amenaza
Definición del Alcance
Verificación de Cumplimiento o
Comparación contra buena práctica
Alcance
Continuidad, Contingencia, Crisis, Desastres
Recopilación de Regulaciones, Normas Internas,
Relaciones contractuales y Procedimientos
Solo para el Proceso DS4
Todos los Temas (Objetivos de Control)
Algunos Temas (Objetivos de Control)
Procesos Interrelacionados
Planeación, Presupuesto, Administración de Riesgos,
Gerencia de Proyectos, Personal
SISTESEG CORPORATION
Definiendo BCM
Conceptos asociados – Incluye …
• Planeación de negocio
• Gerencia de proyectos
• Administración de aplicaciones
• Reorganización de procesos de negocio
• Administración de riesgos de construcciones y edificios
• Administración de crisis
• Administración de emergencias
• Alta disponibilidad
• Seguridad de la información
• Seguridad física
• Análisis de riesgos y controles
• Implementación de soluciones
• Concientización, Entrenamiento y Educación
SISTESEG CORPORATION
Definiendo BCM
Conceptos asociados – Incluye …
Servidores Cluster, Fault Tolerance, etc.
Redundancia en dispositivos de red (fault tolerance) y/o
arquitecturas de alta disponibilidad
Sitios alternos de procesamiento (hot site, cold site, entre otros)
Software de replicación en Bases de Datos, Sistemas
Operativos, Aplicaciones
Arquitecturas de almacenamiento (Robots, SAN, NAS, CAS)
Procesos de administración de la continuidad basado en
estándares tales como ITIL, COBIT, NIST entre otros
SISTESEG CORPORATION
Ejecución de la Auditoría
Recolección y
Reunión Inicial Reunión Final
Evaluación de Evidencia
Pruebas de cumplimiento
Pruebas sustantivas
SISTESEG CORPORATION
Pruebas de Cumplimiento
SISTESEG CORPORATION
Pruebas Sustantivas
SISTESEG CORPORATION
SISTESEG CORPORATION
COBIT
Procesos claves en IT/Governance
Planeación y Alineamiento Estratégico Financieros
Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004
SISTESEG CORPORATION
Criterios para procesos de seguridad en TI
Planeació
Planeación para la recuperació
recuperación de desastres
Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003
SISTESEG CORPORATION
Criterios para procesos de seguridad en TI
Planeación para la recuperación de desastres
Ubicación 1
Ubicación 2
Ubicación 3
Ubicación 4
Ubicación 5
Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003
SISTESEG CORPORATION
Criterios para procesos de seguridad en TI
Planeación para la recuperación de desastres
2004 2005
Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003
SISTESEG CORPORATION
Criterios para procesos de seguridad en TI
Security Governance - ISACA
SISTESEG CORPORATION
Ejecución de la Auditoría
Recolección y
Reunión Inicial Reunión Final
Evaluación de Evidencia
SISTESEG CORPORATION
Enfoques de pruebas
SISTESEG CORPORATION
Tipos de pruebas
Destructiva
Verificación
Observación estática
SISTESEG CORPORATION
Técnicas
Inspección y observación
Entrevista
Revisión contra estándares aceptados
Listas de chequeos y cuestionarios
Simulación
Prueba de escenarios
Prueba sorpresa aleatoria
Desconexión
Participar en la prueba de compatibilidad
Correr los sistemas críticos en sitios alternos
Verificación del inventario de elementos para la recuperación
Revisión de documentación
Prueba del equipo tigre
Observación de Programas de respaldo similares
Revisar los resultados de las pruebas obtenidas por el equipo de
recuperación
Participar en pruebas de sitios de backup y Hot
Simulacros de emergencia
SISTESEG CORPORATION
Herramientas de recolección de
evidencia
SW auditoría Herramientas de
especializado auditoría concurrentes
SISTESEG CORPORATION
Ejecución de la Auditoría
Recolección y
Reunión Inicial Reunión Final
Evaluación de Evidencia
Evaluación de evidencia
Hallazgos de Auditoría
Deficiencias (criterios,
condiciones, causas, efectos,
recomendaciones)
SISTESEG CORPORATION
Reporte y Seguimiento
Hallazgos de la Auditoría
Conclusiones de la Auditoría
Recomendaciones
SISTESEG CORPORATION
Por qué Auditar?
SISTESEG CORPORATION
Conclusiones
SISTESEG CORPORATION
Definiendo BCM
Actividades a realizar
SISTESEG CORPORATION
FIN!