DOMINIO 4

OPERACIONES DE LOS SISTEMAS DE INFORMACIÓN Y RESILIENCIA DEL NEGOCIO

DOMINIO 4
Las operaciones de los sistemas de información y la
resiliencia del negocio son importantes para poder
garantizar a los usuarios y a la gerencia que se
proporcionará el nivel esperado de servicio. Las
expectativas del nivel de servicio se derivan de los
objetivos de negocio de la organización. La entrega
de servicios de TI incluye operaciones de SI, gestión de
SI y servicios de TI y los grupos responsables de
respaldarlos. Las interrupciones también son factores
con frecuencia inevitables de conducir negocios. La
preparación es clave para poder continuar las
operaciones de negocios mientras se protege a las
personas, los activos y la reputación. Emplear
tácticas de resiliencia de negocios ayuda a las
organizaciones a abordar estas cuestiones y limitar el
impacto.
ACERCA DEL EXAMEN CISA

Dominio 1: Proceso de
Dominio 5: auditoría a los sistemas
Protección de los de información, 21%
activos de
información, 27%

Dominio 2:
Gobierno y gestión
de TI, 17%
Dominio 4:
Operaciones de los
sistemas de
información y
resiliencia del
negocio, 23% Dominio 3: Adquisición,
desarrollo e
implementación de
sistemas de
información, 12%
OBJETIVOS DEL DOMINIO 4
Dentro de este dominio, el auditor SI debería poder hacer lo siguiente:
• Evaluar la capacidad de la organización para continuar con las operaciones del negocio.
• Evaluar si las prácticas de gestión de servicios de TI están alineadas con los requerimientos del negocio.
• Realizar revisiones periódicas de los sistemas de información y la arquitectura de la empresa.
• Evaluar las operaciones de TI para determinar si están siendo controladas de manera eficaz y continúa
para respaldar los objetivos de la organización.
• Evaluar las prácticas de mantenimiento de TI para determinar si está siendo controladas de manera eficaz
y continúa para respaldar los objetivos de la organización.
• Evaluar las prácticas de gestión de bases de datos.
• Evaluar las políticas y prácticas del gobierno de datos.
• Evaluar las políticas y prácticas de gestión de incidentes y problemas.
• Evaluar las políticas y prácticas de gestión de cambios, configuración, versiones y parches.
• Evaluar la computación de usuario final para determinar si los procesos están siendo controlados de
manera eficaz.
• Evaluar las políticas y prácticas relacionadas con la gestión del ciclo de vida de los activos.
TEMAS DEL DOMINIO 4

Operaciones de los sistemas de información: Resiliencia del negocio

• Componentes y arquitecturas de hardware de • Análisis de impacto en el negocio (BIA)
computadora • Resiliencia del sistema
• Gestión de activos de TI • Respaldo, almacenamiento y restauración de
• Interfaces del sistema datos
• Computación de usuario final • Plan de continuidad del negocio (BCP)
• Gobierno de datos • Planes de recuperación de desastres (DRP)
• Gestión del rendimiento de los sistemas
• Gestión de incidentes y problemas
• Gestión de cambios, configuración, versiones
y parches
• Gestión del nivel de servicio de TI
• Gestión de la base de datos

5
OPERACIONES DE LOS
SISTEMAS DE
INFORMACIÓN

6
COMPONENTES Y ARQUITECTURAS DE
HARDWARE DE COMPUTADORA

7
DISPOSITIVOS DE
PROCESAMIENTO COMUNES
DE LA EMPRESA
Servidores de impresoras
Servidores de archivos
Servidores de aplicaciones (programas)
Servidores web
Servidor de proxy
Servidor de base de datos
Servidores de bases de datos
IoT: todo tipo de dispositivos
8
RIESGOS RELACIONADOS CON LOS USB

Virus y otro
software malicioso

Pérdida de
confidencialidad Hurto de datos

Corrupción de Pérdida de
datos datos y medios

9
CONTROLES DE SEGURIDAD RELACIONADOS CON LOS USB

Encriptación

Granularidad de control

Formación para el personal de seguridad

Implementación de la política de "bloqueo de escritorio"

Política de antivirus

Uso solo de dispositivos seguros

Inclusión de la información de retorno

10
APLICACIÓN DE RFID

Gestión de
activos
Gestión de la
cadena de
Seguimiento
suministro
(SCM)

Verificación
Control de
de
acceso
autenticidad

Control del
Comparación
proceso

11
RIESGOS ASOCIADOS CON RFID

Riesgos de Riesgo de
proceso de inteligencia
negocio de negocio

Riesgo Riesgo de
externo privacidad

12
CONTROLES DE SEGURIDAD
PARA RFID

Gestión (ej. Politicas y procedimientos)

Operativo (ej. seguridad fisica antenas)
Técnico (ej. Cifrado com. Inalambricas)

13
REVISIONES DE HARDWARE

Plan de adquisición
de hardware

Registros de
problemas Informes
del sistema de Adquisición de
contabilidad de hardware
trabajos

Disponibilidad de
hardware e Gestión de activos
informes de de TI
utilización.

Cronograma de
Gestión de capacidad
mantenimiento
y monitoreo
preventivo

14
GESTIÓN DE ACTIVOS DE TI

15
GESTIÓN DE ACTIVOS DE TI

El registro de inventario de cada activo de información debe

incluir:
• El propietario El primer paso en la
gestión de activos de
• Custodio designado TI es el proceso de
• Identificación específica del activo identificar y crear un
• Valor relativo para la organización inventario de activos
de TI tanto para
• Implicaciones de pérdida y prioridad de recuperación
software como
• Ubicación hardware.
• Seguridad/clasificación de riesgos
• Grupo de activos (cuando el activo forma parte de un sistema más
grande de información)

16
INTERFACES DEL SISTEMA

17
INTERFACES DEL SISTEMA PROBLEMAS DE SEGURIDAD DE LAS
Las interfaces de
INTERFACES DE SISTEMA
sistema existen
cuando la salida Las transferencias de datos seguras garantizan:
de datos de una De
sistema a • la integridad de los datos.
aplicación se sistema

envía como • la confidencialidad y la protección de los

Tipos de
entrada a otra, interfaz
datos de:
con poca o nada
De – acceso no autorizado a los datos mediante
de interacción De socio
persona a
a socio
persona interceptación
humana
– actividad maliciosa
– errores u otros medios
RIESGO ASOCIADO CON LAS La disponibilidad de las interfaces del sistema
INTERFACES DE SISTEMA repercute en la fiabilidad de los datos.
• Integridad del intercambio de datos
(ej. Interfaz no disponible =>
• Seguridad de los datos
• Privacidad no se actualizan los datos)
• Legal
18
 CONTROLES ASOCIADOS CON LAS INTERFACES DE SISTEMA

Los auditores SI deben garantizar que el programa sea capaz de:

• Gestionar múltiples mecanismos de transferencia de archivos.
• Utilizar múltiples protocolos.
• Encriptar, desencriptar y colocar firmas electrónicas en archivos de datos de manera automática.
• Comprimir y descomprimir archivos de datos.
• Conectarse a servidores de base de datos comunes.
• Enviar y obtener archivos por correo electrónico y mensajes seguros de correo electrónico.
• Programar transferencias regulares de datos de manera automática.
• Analizar, rastrear y comunicar todos los atributos de los datos transferidos.
• Garantizar el cumplimiento con las regulaciones y leyes reglamentarias correspondientes.
• Ofrecer un punto de verificación o capacidades de reinicio en caso de interrupciones.
• Integrar aplicaciones de oficina administrativa para automatizar transferencias de datos tanto
como sea posible.
19
COMPUTACIÓN DE USUARIO FINAL

20
BENEFICIOS Y RIESGOS DE SISTEMAS DE USUARIO FINAL

Beneficios Riesgos
• Implementación rápida de aplicaciones • Puede no estar sujeta a una revisión
• Permite que las organizaciones sean más independiente
ágiles • Puede no tener una estructura de
• Retira un poco de la presión de TI departamento formal

Genera:
• Puede contener errores y brindar
resultados incorrectos
• No está sujeta a la gestión de cambios o
la gestión de versiones, lo que genera
múltiples copias, tal vez, diferentes
• No es segura
• No se realizan copias de seguridad
21
RIESGOS PARA LA SEGURIDAD DE LAS SISTEMAS DE LOS
USUARIOS FINALES

Autorización
• Es posible que no exista un mecanismo seguro para autorizar el acceso al sistema.

Autenticación
• Es posible que no exista un mecanismo seguro para autenticar usuarios para el
sistema.
Registros de auditoría
• No está disponible en las soluciones de EUC estándar (por ejemplo, Microsoft Excel,
Access, etc.)
Encriptación
• La aplicación puede contener datos sensibles que no se encriptaron ni protegieron.
22
GOBIERNO DE DATOS

23
GOBIERNO DE DATOS

Se evalúen las necesidades, condiciones y opciones de las

partes interesadas para determinar que se alcancen los
objetivos integrales y acordados de la empresa mediante la
adquisición y la gestión de los recursos de información y Garantiza
datos. Confidencialidad
Integridad
El rumbo de las capacidades de gestión de información y
datos se marque a través de la priorización y la toma de Disponibilidad de los
datos
decisiones.
El rendimiento y el cumplimiento con los recursos de
información y datos sean supervisados y evaluados con
respecto a los objetivos y directrices acordadas (por todas las
partes interesadas).

24
CALIDAD DE DATOS

Contextual

Seguridad/
Intrínseco
accesibilidad

Calidad
de
datos
25
ADMINISTRACIÓN DE DATOS

Planificar

Desechar Diseñar

Supervisar Construir/adquirir

Usar/operar

26
GESTIÓN DEL RENDIMIENTO DE LOS SISTEMAS

27
REVISIONES DE HARDWARE

Plan de
Gestión de
adquisición y Gestión de
capacidad y
ejecución de activos de TI
monitoreo
hardware

Registros de
Disponibilidad problemas,
Cronograma de
de hardware e informes del
mantenimiento sistema de
informes de
preventivo contabilidad de
utilización
trabajos
REVISIONES DEL SISTEMA OPERATIVO

Procedimientos Estudio de
de selección de Software de
factibilidad y el Gestión de activos
seguridad del
software del proceso de de TI
sistema
sistema selección

Documentación de Actividades de
Implementación de Documentación del
autorización mantenimiento de
software del sistema sistema. software del sistema

Controles de Controles de cambio

cambios al software de instalación del
del sistema software del sistema
REVISIONES DE LA BASE DE DATOS

Esquema lógico Esquema físico Informes de tiempo

de acceso

Procedimientos y
Controles de controles de
Interfaces con otro
seguridad de la respaldo y
software
base de datos recuperación ante
desastres

Controles de SI
Gestión de activos
respaldados por la
de TI
base de datos
REVISIÓN DE LA INFRAESTRUCTURA DE RED
Al auditar una red, el auditor SI debe revisar los controles sobre las implementaciones de la red para
garantizar que las normas estén presentes para:
• El diseño y la selección de la arquitectura de la red
• Una adecuada relación costo-beneficio entre la adquisición y la operación de la red

Una revisión eficaz requiere la identificación de:

• La topología de red y el diseño de la red
• Componentes de red significativos
• Redes de perímetro interconectadas
• Usuarios de la red
• Administrador de redes, operador y grupos de usuarios
• Pasarela de red a Internet
• Estándares o procedimientos de seguridad definidos
ÁREAS DE REVISIÓN DE LA RED
Controles físicos Controles ambientales
• Dispositivos de • Controles en la
hardware de red instalación del servidor,
• Servidor de archivos incluidas temperatura,
humedad, electricidad
• Documentación estática, protección
• Registros de llave contra sobretensiones e
• Armario de cableado incendios.
de red y cableado de • Protección de los
transmisión medios de copia de
seguridad
• Limpieza
Control de seguridad
lógica
• Contraseñas
• Acceso de usuarios de
la red y solicitudes de
cambio
• Planes de prueba
• Informes y mecanismos
de seguridad
• Procedimientos de
operación de red
• Concientización del
personal sobre los
riesgos
REVISIONES DE LAS OPERACIONES DE SI

Consideración de
Revisión del Examinación del
Observación del idoneidad de los
acceso de los acceso a la
personal de SI manuales del
operadores biblioteca
operador

Consideración del
Revisar las
contenido y la Procedimientos
Examinar datos de operaciones de
ubicación del para manejar
datos procesos apagado
almacenamiento archivos
(lights-out)
fuera de línea

Importante: recorrido del auditor por las instalaciones físicas

GESTIÓN DE INCIDENTES Y PROBLEMAS

34
MANEJO DE PROBLEMAS
El objetivo de la gestión de problemas es
reducir el número o la gravedad de los
incidentes.
Una gestión de problemas efectiva puede
mostrar una mejora significativa en la
calidad del servicio de una organización
de SI.
35
PROCESO DE MANEJO DE
INCIDENTES
La gestión de incidentes se concentra en brindar
una mayor continuidad del servicio mediante la
reducción o eliminación del efecto adverso de las
perturbaciones a los servicios de TI y abarca casi
todas las operaciones no estándar de los
servicios de TI y, por lo tanto, define el alcance
para incluir prácticamente todos los eventos no
estándar.
La gestión de incidentes es reactiva y su objetivo
es responder a y resolver los problemas
restaurando el servicio normal tan rápidamente
como sea posible (conforme lo defina el SLA).
Es esencial para cualquier proceso de manejo
de incidentes clasificar por orden de prioridad
los puntos después de determinar su impacto y
urgencia
DETECCIÓN, DOCUMENTACIÓN, CONTROL, RESOLUCIÓN E
INFORME DE CONDICIONES ANORMALES
Registros de control automatizados: documentan las condiciones anormales. Para los
fines de control, la capacidad de agregar al registro de errores no debe estar restringida.
La capacidad de actualizar el registro de errores debe estar restringida a las personas
autorizadas, y las actualizaciones deben ser rastreables.
La gerencia de SI debe:
• Mantener y supervisar los registros
• Desarrollar documentación de operaciones para el escalamiento

El auditor SI debe examinar los informes y registros para asegurar una pronta resolución
y una asignación adecuada.

36
CENTRO DE SOPORTE (HELP
DESK)

Los procedimientos que abarcan las

tareas que deben ser llevadas a cabo por
el personal de soporte técnico deben
establecerse de conformidad con las
estrategias y políticas generales de una
organización.

37
HERRAMIENTAS DE GESTIÓN
DE RED

Informes de tiempo de acceso

Informe de tiempo sin servicio (downtime
report)
Informe de centro de soporte (help desk)
Monitores en línea
Monitores de red
Analizadores de red (protocolos)
Protocolo simple de gestión de redes
(SNMP)
38
REVISIONES DE INFORMES DE GESTIÓN DE PROBLEMAS

Entrevistas al personal de Procedimientos y

operaciones de SI documentación
• ¿Se han desarrollado • ¿Son adecuados los
procedimientos procedimientos para
documentados para registrar, evaluar,
guiar el registro, el resolver o escalar los
análisis, la resolución y problemas?
la escalada de los • ¿Es la recopilación y
problemas? análisis de estadísticas
• ¿Se realizan estas de TI adecuada, precisa
acciones de manera y completa?
oportuna, de acuerdo • ¿Se registran todos los
con la intención y problemas identificados
autorización de la por las operaciones de
gerencia? SI para su verificación y
solución?
Registros y expedientes
• ¿Son válidas las
razones de las demoras
en el procesamiento de
los programas de
aplicación?
• ¿Son significativos y
recurrentes los
problemas identificados,
y las acciones
realizadas para prevenir
su recurrencia?
• ¿Hay problemas
recurrentes que no se
han notificado a la
gerencia de SI?
LA FUNCIÓN DE SOPORTE

Determinar el origen de los Iniciar informes de

incidentes informáticos y
emprender las acciones
correctivas apropiadas.
Obtener un conocimiento
problemas; asegurar la
detallado de la red, el
resolución oportuna de
sistema y las aplicaciones.
incidentes.

Proporcionar soporte de Brindar soporte técnico al

Responder a las
segundo y tercer nivel a procesamiento
interrogantes relativas a
usuarios de negocios y computarizado de las
sistemas específicos.
clientes. telecomunicaciones.

Mantener la
Comunicarse con las
documentación del
operaciones de SI para
software del proveedor y
señalar incidentes de
de los sistemas
patrones anormales.
propietarios.
GESTIÓN DE CAMBIOS, CONFIGURACIÓN,
VERSIONES Y PARCHES

41
GESTIÓN DE CAMBIOS
El proceso de gestión de cambios se implementa cuando:
• Se cambia el hardware.
• El software está instalado o actualizado.
• Los dispositivos de red están configurados.
El control de cambios es parte del proceso más amplio de gestión de cambios.
Está diseñado para controlar el movimiento de los cambios en las aplicaciones desde el entorno de prueba
hasta el entorno de producción, hasta el control de calidad.
El proceso de gestión de cambios garantiza que:
• El personal pertinente sea consciente del cambio y de su momento.
• La documentación esté completa y en conformidad.
• Se hayan establecido la preparación del trabajo, el cronograma y las instrucciones de operación.
• Los resultados del sistema y del programa se han revisado y aprobado tanto por parte de la dirección del
proyecto como por el usuario final.
• Las conversiones de archivos de datos y sistemas se han completado de forma precisa y completa.
• Todos los aspectos de los trabajos entregados hayan sido comprobados, revisados y aprobados por el
personal de control/operaciones.
• Se han abordado cuestiones legales y de cumplimiento.
• Se ha planificado el riesgo asociado con el cambio y se ha desarrollado un plan de retroceso para
respaldar los cambios en caso de que sean necesarios.
SOLICITUDES Y GESTIÓN DE CAMBIOS

Los procesos de cambio formalizados y documentados incorporan los siguientes

elementos:
• Solicitud de cambio
• Autorización
• Pruebas
• Implementación
• Comunicación con los usuarios finales

Los procedimientos asociados pueden variar de acuerdo con el tipo de solicitud de

cambio, incluidos:
• Cambios de emergencia
• Cambios mayores
• Cambios menores
MANTENIMIENTO DEL HARDWARE

Para un rendimiento óptimo, el hardware debe limpiarse y repararse de forma

rutinaria.
Cuando se realice una auditoría de esta área, el auditor SI debe:
• Garantizar que se ha desarrollado un plan de mantenimiento formal. El plan debe:
• Recibir la aprobación de la gerencia.
• Implementarse y observarse.
• Identificar los costos de mantenimiento que excedan el presupuesto o que sean excesivos.
GESTIÓN DE CAPACIDADES

Los recursos informáticos y de red deben planificarse y supervisarse para garantizar

que se utilizan de manera eficiente y eficaz.
Debería elaborarse un plan de capacidad basado en las aportaciones de los usuarios y
de los administradores de la infraestructura de información, que debería revisarse y
actualizarse al menos una vez al año.
La auditoría de SI debe tener en cuenta que las necesidades de capacidad pueden:
• Fluctuar de acuerdo con los ciclos económicos.
• Ser interdependientes en todo el plan de capacidad.
GESTIÓN DE VERSIONES
Versiones mayores
• Normalmente, contienen un
cambio o adición
significativa a nueva
funcionalidad.
• Por lo general, reemplaza a
todas las ampliaciones
menores que le
precedieron.
Versiones menores
• Normalmente, ofrecen
pequeñas mejoras y
reparaciones.
• Por lo general, reemplaza a
todas las reparaciones de
emergencia que le
precedieron.
Versiones de
emergencia
• Normalmente, contienen
correcciones a un reducido
número de problemas
conocidos.
• Rquieren una
implementación lo más
rápida posible, lo que limita
la ejecución de las
actividades de gestión de
pruebas y liberaciones.
GESTIÓN DE PARCHES
Un parche es un código de software que se instala para mantener el software
actualizado entre versiones completas.
Un parche a menudo aborda los riesgos de seguridad que se han detectado en el código
original.
Las tareas de gestión de parches incluyen lo siguiente:
• Mantener el conocimiento actual sobre los parches disponibles.
• Decidir qué parches son adecuados para los sistemas específicos.
• Garantizar que los parches sean instalados de manera correcta.
• Probar los sistemas después de la instalación.
• Documentar todos los procedimientos relacionados con los parches.

Debido a que un parche puede introducir nuevos problemas en un sistema, es una buena
práctica probar un parche en un sistema no crítico y realizar copias de seguridad antes
de instalar los parches.
ASEGURAMIENTO DE LA CALIDAD (QA)

Antes de la introducción de cambios en el sistema de producción, debe existir un

proceso de garantía de calidad para verificar que los cambios se han producido:
• Estén autorizados.
• Estén probados.
• Se implementen de manera controlada.

El personal también supervisa el debido mantenimiento de las versiones de programa y

del código fuente y objetos.
ESQUEMAS DE RESPALDO
Respaldo
Características Respaldo incremental Respaldo diferencial
completo
¿Qué hace? Copia todos los archivos Copia archivos y carpetas Copia archivos y carpetas
y carpetas principales en que han cambiado o son que se han añadido o
el medio de copia de nuevos desde la última copia modificado desde que se
seguridad. de seguridad. realizó una copia de
seguridad completa.

¿Cuáles son las Crea un archivo único en Requiere menos tiempo y Más rápido que la copia de
ventajas? caso de restauración. medios que una copia de seguridad completa; requiere
seguridad completa. solo los últimos juegos de
copias de seguridad
completas y diferenciales
para una restauración
completa.
¿Cuáles son las Requiere más tiempo y Todos los conjuntos de Requiere más tiempo y
desventajas? capacidad de medios copias de seguridad son capacidad de medios que las
que otros métodos. necesarios para implementar copias de seguridad
una restauración completa, incrementales.
lo que lleva más tiempo.
CLÁUSULAS CONTRACTUALES

El uso de alternativas de recuperación de terceros debe estar guiado por

disposiciones contractuales como las siguientes:

• Configuraciones de hardware y software.

• Definición de la magnitud del desastre.
• Uso de instalaciones privadas frente a compartidas.
• Prioridad de la organización con respecto a otros usuarios.
• Inmediatez y duración de la disponibilidad.
• Consideraciones de seguridad y de auditoría.
OPERACIONES DE SI

La función de las operaciones de los sistemas de SI es responsable del soporte diario

del entorno de computación y SI de la organización, lo que garantiza que:
• Se cumplen los requerimientos de procesamiento de computadoras.
• Los usuarios finales estén satisfechos.
• La información se procese de manera segura.
• Las partes externas (terceros, informática en la nube) cumplen con los requisitos de
procesamiento de la empresa.

La organización de las operaciones de SI varía en función del tamaño del entorno

informático.
El auditor SI debe comprender el alcance de las operaciones de SI al realizar una
auditoría de esta área.
DOCUMENTACIÓN DE LAS OPERACIONES DE SI

El entorno de control de SI requiere procedimientos que detallen las tareas y procesos

operativos, así como la supervisión de la gestión de SI.
Dicha documentación incluye procedimientos para:
• Instrucciones de funcionamiento y flujos de trabajo para ordenadores y equipos periféricos.
• Sistemas de monitorización y aplicaciones.
• Detección de errores y problemas del sistema y de la aplicación.
• Manejo de los problemas de SI y el escalamiento de los problemas no resueltos.
• Respaldo y recuperación.
GESTIÓN DEL NIVEL DE SERVICIO DE TI

53
GESTIÓN DE SERVICIOS DE TI
La gestión de servicios de TI (ITSM) apoya las
necesidades del negocio.
Un marco de gestión de servicios proporciona
apoyo para esta gestión.
LA PREMISA DE ITSM
Las bases de ITSM son:
• TI se puede administrar a través de una
serie de procesos discretos.
• Los procesos prestan “servicios" a la
empresa y son interdependientes.
Los acuerdos de nivel de servicio (SLA)
detallan las expectativas de servicio.
Para garantizar altos niveles de servicio, las
métricas de ITSM se comparan con las
expectativas de SLA.
MARCOS DE GESTION DE
SERVICIOS (ITSM)
Hay marcos principales que guían ITSM:
• La Biblioteca de Infraestructura de TI (ITIL).
• La ITIL es una referencia para las buenas
prácticas de prestación de servicios. Deben
adaptarse a las necesidades de la
organización específica.
• ISO 20000-1:2011 Tecnología de la información–
Gestión de servicios– Parte 1: Requisitos del
sistema de gestión de servicios.
• ISO 20000 se utiliza más que nada como una
demostración de cumplimiento para la buena
práctica aceptada. Además, se requiere que
los prestadores del servicio implementen la
metodología planificar-hacer-verificar-actuar
(PDCA) (círculo de calidad de Deming:
Planificar-Hacer-Verificar-Actuar) aplicarla a
sus procesos de gestión de servicios.
AUDITORÍA DE LA INFRAESTRUCTURA

La arquitectura empresarial (EA)

describe el diseño de los componentes de
un sistema o subsistema empresarial.
• EA documenta los activos de TI de una
organización de forma estructurada, lo que
facilita la consideración de las inversiones en
TI y aclara las interrelaciones entre los
componentes de TI.

Al auditar la infraestructura y las operaciones, el

auditor SI debe:
• Seguir la EA general.
• Utilizar la EA como fuente principal de información.
• Garantizar que los sistemas de TI estén alineados
con la EA y cumplan con los objetivos de la
organización.
GESTIÓN DE LA BASE DE DATOS

56
SISTEMAS DE GESTIÓN DE BASES DE DATOS

El software de los sistemas de gestión de bases de datos (DBMS) ofrece numerosos

beneficios:
• Ayuda a organizar, controlar y usar los datos que necesitan los programas de aplicación.
• Provee un recurso para crear y mantener una base de datos bien organizada.
• Reduce la redundancia de datos y el tiempo de acceso, a la vez que ofrece seguridad básica
sobre los datos confidenciales.
CONTROLES DE BASE DE DATOS

Procedimientos
Normas de Niveles de Actualizaciones
de respaldo y
definición control de solo por personal
recuperación de
reforzadas acceso autorizado
datos

Controles sobre Comprobación de Reorganización

la exactitud, Puntos de de la base de
la actualización integridad y control del flujo datos para
simultánea de coherencia de los garantizar la
de trabajo
los mismos datos datos eficiencia

Uso de
Procedimientos Minimizar el uso
herramientas para
de de herramientas o
la presentación de
reestructuración utilidades que no
informes de
de bases de datos son del sistema
desempeño

Contribuyen a reforzar la confidencialidad, integridady disponibilidad de la base de datos

RESILIENCIA DEL NEGOCIO

59
ANÁLISIS DE IMPACTO EN EL NEGOCIO

60
ANÁLISIS DE IMPACTO EN EL NEGOCIO

BIA es un proceso utilizado para determinar el impacto de perder el apoyo de los

recursos.
Es un complemento importante del análisis de riesgos, ya que a menudo descubre
componentes vitales pero menos visibles que dan soporte a procesos críticos.
Se deben considerar tres preguntas principales durante un proceso de BIA:
• ¿Cuáles son los diferentes procesos del negocio?
• ¿Cuáles son los recursos de información críticos relacionados con los procesos del negocio
críticos de una organización?
• En el caso de un impacto en los procesos críticos de negocio, ¿en qué plazo se producirán
pérdidas significativas o inaceptables?

El auditor SI debe ser capaz de evaluar el BIA, lo que requiere un conocimiento de los
métodos de desarrollo del BIA.
CLASIFICACIÓN DE OPERACIONES Y ANÁLISIS DE CRITICIDAD

No
Criticas Vitales Sensibles
sensibles

Críticas: No se pueden realizar estas funciones a menos que se reemplacen por capacidades idénticas. No se
pueden reemplazar las aplicaciones críticas con métodos manuales. La tolerancia a las interrupciones es muy baja;
por lo tanto, el costo de interrupción es muy alto.

Vitales: Estas funciones se pueden realizar manualmente, pero sólo por un breve período de tiempo. Existe una
mayor tolerancia a las interrupciones que en los sistemas críticos, con costos de interrupción más bajos, siempre
que la función se restablezca en un determinado plazo (menos de 5 días).

Sensibles: Estas funciones se pueden realizar manualmente, a un costo aceptable y por un período de tiempo
prolongado. Aunque se puede realizar manualmente, generalmente es un proceso difícil y se requiere personal
adicional para ejecutarlo.

No sensibles: Estas funciones se pueden interrumpir por un período de tiempo prolongado, a un costo bajo o nulo
para la empresa y requieren poco o ningún esfuerzo de actualización cuando se restauran.
62
RESILIENCIA DEL SISTEMA

63
MÉTODOS DE RECUPERACIÓN EN CASO DE DESASTRE Y
RESILIENCIA DE LAS APLICACIONES
Sistemas en clúster
• Un clúster es un tipo de software (agente) que se instala en cada servidor (nodo) en el que se
ejecuta la aplicación e incluye software de gestión que permite controlar y ajustar el
comportamiento del clúster.
• El clustering protege contra los puntos únicos de fallas (un recurso cuya pérdida ocasionaría la
pérdida del servicio o producción). El objetivo principal de la agrupación en clúster es la mayor
disponibilidad.

Clústeres activo-pasivo
• La aplicación solo se ejecuta en un nodo (activo), mientras que los demás nodos (pasivos) sólo
se utilizan si la aplicación falla en el nodo activo.

Clústeres activo-activo
• Los clústeres requieren que la aplicación sea construida para utilizar las capacidades del clúster.
• Proporcionan: Recuperación rápida, balanceo de carga y escalabilidad y requiere una red con menos
latencia
64
MÉTODOS DE RECUPERACIÓN ANTE DESASTRES Y RESILIENCIA
DE LAS REDES DE TELECOMUNICACIONES
Redundancia
(routers, cables, etc…)

Recuperación por Enrutamiento

voz alternativo
(cables redundantes, (ej: cobre y fibra)
VoIP, etc.)

Protección de circuito de
Enrutamiento
última milla
diversificado
(Combinación:opeadora,
cables, o tipos) (dos fibras)

Diversidad de redes
de larga distancia
(dos operadoras de
telec.)

65
RESPALDO, ALMACENAMIENTO Y
RESTAURACIÓN DE DATOS

66
CONTROLES DE BIBLIOTECAS FUERA DE LA SEDE
(OFFSITE)

Acceso físico seguro a los Encriptación de los medios de Asegurarse de que la Ubicación de la biblioteca lejos
contenidos de la biblioteca, copia de seguridad, construcción física puede del centro de datos y desastres
accesible sólo a personas especialmente durante el soportar el calor, el fuego y el que pueden afectar a ambos a
autorizadas. transporte. agua. la vez.

Mantenimiento de un inventario
Mantenimiento de los registros
de todos los medios de Mantenimiento y protección de
de la biblioteca durante
almacenamiento y archivos un catálogo de información
períodos de retención
durante períodos de retención sobre los archivos de datos.
específicos.
específicos.
 SEGURIDAD Y CONTROL DE
LAS INSTALACIONES
EXTERNAS
El IPF (Information Processing Facility o
CPD) externo deberá estar tan seguro y
controlado como el sitio original.
La instalación fuera del sitio no debe ser
identificada fácilmente desde afuera.
La instalación externa no debería ser
objeto de la misma situación de desastre
que afectara el sitio original.
Debe haber un seguimiento y controles
ambientales adecuados.

68
RESPALDO DE MEDIOS Y ESQUEMAS DE RESPALDO
DOCUMENTACIÓN Y TIPOS DE
DISPOSITIVO
La duplicación de datos y documentación • Respaldo completo
importantes es importante para una recuperación
adecuada. • Respaldo incremental

Factores del tipo de dispositivo: • Respaldo diferencial

• Estandarización • Método de rotación
• Capacidad
• Velocidad
• Precio

Tipos de respaldo:
• Bibliotecas de cintas virtuales
• Replicación basada en el servidor (host)
• Replicación basada en la matriz de discos
• Imágenes instantáneas
69
PLANES DE CONTINUIDAD DEL NEGOCIO

70
PLANIFICACIÓN DE CONTINUIDAD
DEL NEGOCIO
En el caso de una interrupción de las
operaciones comerciales normales, BCP y
DRP pueden permitir que los procesos
críticos continúen.
La responsabilidad del BCP recae en la
alta gerencia, pero su ejecución
generalmente corresponde a las unidades
de negocios y de apoyo.
El plan debe abordar todas las funciones y
los activos que se requerirán para
continuar como una operación viable justo
después de encontrar una interrupción y
mientras se lleva a cabo la recuperación.
GESTIÓN DE DESASTRES
Un DRP de TI es un conjunto estructurado de
procesos y procedimientos diseñados para
acelerar la respuesta y garantizar la continuidad
del negocio en caso de un desastre.
Se definen varias funciones y responsabilidades
para los equipos en el DRP.
El auditor del SI debe tener conocimiento de las
responsabilidades del equipo, que pueden variar
de una organización a otra.
EL BCP Y DRP
El DRP es parte del BCP.
Consiste en un plan de restauración que se
utilizará para que las operaciones regresen a
su estado normal.
En general, es recomendable tener un plan
integrado único para garantizar que:
• La coordinación entre los diversos
componentes del plan apoya la respuesta
y la recuperación.
• Los recursos se utilizan de la manera más
eficaz.
• Se puede mantener una confianza
razonable en que la empresa sobrevivirá
a una interrupción.
BCP DE TI
La continuidad de los servicios de TI es a menudo
crítica para la organización, y el desarrollo y la
prueba de un sistema de información BCP/DRP es un
componente importante de la planificación de la
continuidad en toda la empresa.
Se identifican y consideran los puntos de
vulnerabilidad durante el proceso de evaluación de
riesgos.
El potencial de daño puede cuantificarse a través de
un BIA.
PROCESO DE BCP

El proceso de BCP puede dividirse en las fases de ciclo de vida, como se muestra aquí.
Ciclo de vida de la planificación de continuidad del negocio
Supervisión, Pruebas
Planificación del proyecto
mantenimiento y del plan
(Política de BC y alcance
actualización del de BC
del proyecto)
plan de BC

Entrenamiento y
Concientización
en BC
Evaluación y
análisis de riesgos

Desarrollo del
Plan de BC
Análisis de impacto
Desarrollo de la
del negocio
estrategia de BC Ejecución de estrategia
(implementación de
contramedidas para
enfrentar riesgos)
PROCESO DE CREACIÓN DE UN BCP

Análisis de Impacto (BIA)

Procesos de Recursos TI Criticidad
negocio

Monitoreo y seguimiento
Análisis de Riesgos
“Clasificación de las operaciones
y análsis de criticidad”

BCP/
DRP
Prueba del plan

Programa de entrenamiento y
concienciación Estrategias de
recuperación

Desarrollo del BCP

DESASTRES E INTERRUPCIONES
Los desastres suelen requerir esfuerzos de recuperación para restablecer la operación de los servicios.
Las categorías de los desastres incluyen:
• Catástrofes naturales.
• Pandemias, epidemias u otros brotes infecciosos.
• Interrupciones de servicios públicos.
• Acciones de los seres humanos, que causan daño intencional o accidental.
• Fallos de hardware o software.
• Incidentes que causan daños a la imagen, reputación o marca.
Algunos acontecimientos son imprevisibles. Estos acontecimientos se denominan eventos de "cisne negro".

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)

Una política de continuidad del negocio debe ser proactiva y transmitir el mensaje de que deben utilizarse
todos los controles posibles para detectar y prevenir interrupciones.

La política es un documento aprobado por la alta gerencia; sirve para varios propósitos:
• Dar el mensaje a la organización de que está comprometida con la continuidad del negocio.
• Como declaración a la organización, confiere poder a los responsables de la continuidad del negocio.
• Comunica a las partes interesadas externas que se toman en serio las obligaciones, como la prestación
de servicios y el cumplimiento.
MITIGACIÓN DE INCIDENTES

Diagrama de relación entre incidente e impacto

Reducir la probabilidad Mitigar las consecuencias

Supervisión de
infraestructura

Respaldo y
Gestión de Controles recuperación
capacidades detectivos

Gestión de incidentes
(centro de soporte) El BCP o DRP
de TI

Controles (contramedidas Controles

para enfrentar riesgos) correctivos
Cláusulas especiales
Sitio de procesamiento de los contratos de
alternativo proveedores

Gestión de Controles
riesgos preventivos
Generadores de
energía o UPS
Gestión de
configuraciones
GESTIÓN DE INCIDENTES DE BCP

Por su naturaleza, los incidentes y las crisis a menudo se desarrollan de forma

dinámica y rápida en direcciones imprevisibles.
La gestión de esas situaciones requiere un enfoque proactivo y documentación de
apoyo.
Todos los incidentes deben clasificarse en uno de los siguientes niveles:
• Insignificantes: no causan daños perceptibles.
• Menores: no producen ningún impacto financiero o material negativo.
• Mayores: causan un impacto material negativo en los procesos de negocio; posibles efectos en
otros sistemas, departamentos o partes interesadas externas.
• Crisis: tienen como resultado un grave impacto material en el funcionamiento continuo de la
empresa y sus grupos de interés.

Tenga en cuenta que la clasificación de un incidente puede cambiar a medida que se

producen los eventos.
COMPONENTES DEL PLAN BCP

Plan de
Plan de continuidad Plan de recuperación
restablecimiento del
de las operaciones de desastre
negocio

Plan de Plan de Plan de

Plan de
contingencia de comunicaciones respuesta a
transporte
TI críticas incidentes

Plan de Plan de
Plan de
emergencia del emergencia del
evacuación
ocupante ocupante
PRUEBAS DEL PLAN
Deben probarse los componentes críticos de un BCP en condiciones simuladas para lograr objetivos como:
• Verificar la exactitud e integridad del BCP.
• Evaluar el desempeño del personal involucrado.
• Evaluar la coordinación entre los miembros del equipo de respuesta y las partes externas.
• Medir la capacidad de cualquier sitio de copia de respaldo para que funcione como se espera.

La evaluación de los resultados y el valor de las pruebas BCP es una responsabilidad para el auditor SI.

AUDITORÍA DE LA CONTINUIDAD DEL NEGOCIO

Cuando se audita la continuidad del negocio, el auditor SI debe completar una serie de tareas, por ejemplo:
• Entender las conexiones entre el BCP y los objetivos del negocio.
• Evaluar el BCP y determinar su idoneidad y coste.
• Verificar la eficacia del BCP a través de una revisión de las pruebas del plan.
• Evaluar los mecanismos basados en la nube y el almacenamiento externo.
• Evaluar la capacidad del personal para responder eficazmente en caso de incidente.
REVISIÓN DE AUDITORÍA DEL BCP
1. Revisar el documento del
BCP.
2. Revisar las aplicaciones
cubiertas por el plan BCP.
3. Revisar los equipos de
continuidad del negocio.
4. Probar los planes.
EVALUACIÓN DE AUDITORÍA DEL BCP
Evaluar las
instalaciones de Evaluar al personal
Evaluar los resultados
almacenamiento clave a través de
de pruebas anteriores
externo, incluidos los entrevistas
controles de seguridad
Evaluar el contrato de
Evaluar la cobertura del
procesamiento
seguro
alternativo
PLANES DE RECUPERACIÓN DE DESASTRES

81
PLANIFICACIÓN DE
RECUPERACIÓN EN CASO DE
DESASTRE

La planificación en caso de desastres es

una parte importante de los procesos de
gestión de riesgos y BCP.
El propósito de este proceso de
planificación continuada es garantizar que
existen controles rentables para evitar
posibles interrupciones de TI y para
recuperar la capacidad de TI de la
organización en caso de una interrupción.
REQUISITOS DE CUMPLIMIENTO DEL DRP
El DRP puede estar sujeto a varios requisitos de cumplimiento sobre:
• Ubicación geográfica.
• Naturaleza del negocio.
• Marco legal y reglamentario.

La mayoría de los requisitos de cumplimiento se centran en garantizar la continuidad del servicio con la
seguridad humana como el objetivo más esencial.

Las organizaciones pueden contratar a terceros para que realicen actividades relacionadas con el DRP en su
nombre; estos terceros también están sujetos al cumplimiento.

PLANIFICACIÓN DE RECUPERACIÓN EN CASO DE DESASTRE

El auditor SI debe asegurarse de que todos los planes se prueben regularmente y ser consciente del
programa de pruebas y las pruebas que se realizarán para todas las funciones críticas.

La documentación de la prueba debe ser revisada por el auditor SI para confirmar que las pruebas están
completamente documentadas con informes previos, informes de la prueba y posteriores a la prueba.
• También es importante que la seguridad de la información sea validada para garantizar que no se vea
comprometida durante las pruebas.
DEFINICIÓN DE RPO Y RTO

Objetivo de punto de Objetivo de tiempo de

recuperación (RPO) recuperación (RTO)

• Se determina en base a la • Tiempo establecido para la

pérdida de datos aceptables en recuperación de una función o
caso de una interrupción de las recurso de negocio después de
operaciones. Indica el tiempo que ha ocurrido un desastre.
mínimo posible en el que se
pueden recuperar los datos.
• El RPO cuantifica efectivamente
la cantidad permisible de pérdida
de datos en caso de interrupción.
RESPUESTAS DE RPO Y RTO

Ambos conceptos se basan en parámetros de tiempo. Mientras más cerca del centro,
más alto será el costo de las estrategias de recuperación. Observe las estrategias
empleadas en cada marca de tiempo en el gráfico siguiente.

Objetivo de punto de recuperación Objetivo de tiempo de recuperación

4-24 horas 1-4 horas 0-1 hora 0-1 hora 1-4 horas 4-24 horas

• Copias de • Copias de • Replicación • Clustering • Clustering • Cold

respaldo en respaldo de datos en activo-activo activo- standby
cinta basadas en espejo pasivo
• Envío de disco (mirroring) • Hot standby
registros • Imágenes • Replicación
instantáneas en tiempo
• Replicación real
con demora
• Envío de
registros
PARÁMETROS ADICIONALES

Los siguientes parámetros también son importantes para definir las estrategias de
recuperación:
• Ventana de interrupción: el período máximo de tiempo que una organización puede esperar
desde el punto de falla hasta la restauración de los servicios críticos, después del cual no se
pueden permitir las pérdidas progresivas de la interrupción.
• Objetivo de entrega del servicio (SDO): Directamente relacionado con las necesidades del
negocio, define el nivel de servicios que deben alcanzarse durante el período de procesamiento
alternativo.
• Interrupciones máximas tolerables: la cantidad de tiempo que la organización puede soportar el
procesamiento en el modo alternativo, después de lo cual pueden surgir nuevos problemas
debido a un SDO inferior al habitual, y la acumulación de información pendiente de actualización
se vuelve inmanejable.
ESTRATEGIAS DE RECUPERACIÓN
Los procedimientos de recuperación documentados garantizan el retorno a las operaciones normales del
sistema en caso de que se produzca una interrupción.

Se basan en estrategias de recuperación, que deberían:

• Ser aprobadas por la alta gerencia.
• Utilizadas para seguir desarrollando el plan de continuidad del negocio (BCP).

La selección de una estrategia de recuperación depende de la criticidad del proceso de negocio y sus
aplicaciones, costos, seguridad y tiempo de recuperación.

En general, cada plataforma de TI que ejecute una aplicación que soporte una función empresarial crítica
necesitará una estrategia de recuperación.

Las estrategias apropiadas son aquellas en las que el costo de la recuperación dentro de un plazo
específico se equilibra con el impacto y la probabilidad de que ocurra.

El costo de la recuperación incluye tanto los costos fijos de proporcionar recursos redundantes o
alternativos como los costos variables de utilizarlos si ocurre una interrupción.
ALTERNATIVAS DE RECUPERACIÓN

Hot sites

Acuerdos de
reciprocidad
Warm sites
con otras
organizaciones.

Acuerdo de
Cold sites
reciprocidad

Sitios móviles Sitio espejo

 1.- Alternativas de recuperación

Hot Sites Instalaciones duplicadas (Redundantes)

Costos asociados altos
Totalmente configurados y listos para operar en pocas
horas
Uso por períodos cortos (semanas)
Necesidad de compatibilidad y sincronizado de archivos
Redundancia de acceso a redes
El coste incluye la suscripción, cuotas mensuales,
pruebas, costes de activación y cargos por uso por hora o
día
Warm Sites
Parcialmente configurado
Tiene conexiones de redes y equipos
No tiene computador principal (o uno poco potente).
Puede necesitar semanas para estar totalmente operativo
Es menos costoso que el hot site
Cold Sites
Sólo el ambiente básico (cableado, aire, piso, etc.)
Está listo para recibir equipos, pero no tiene componentes
Van desde un “hot site” hasta un acuerdo con otra
empresa
Ubicaciones distantes (no sujetas al mismo desastre)
Se debe garantizar compatibilidad y disponibilidad
Deben existir acuerdos de prioridades
Deben ser probados periódicamente
Sitios Móviles (Mobile sites)
Remolque para proveer medios de procesamiento
Pueden incluir radioenlaces terrestres y por satélites
Coste bajo y útil para empresas con oficinas múltiples
Acuerdos recíprocos con otras Organizaciones
Provisión mutua de tiempo de cómputo ante emergencias
Bajo coste. Necesitan tener recursos similares
Desventaja: No suelen ser obligatorios. No
necesariamente son notificadas a las partes los cambios
en configuraciones, u otros aspectos que atenten contra la
compatibilidad
 RESILIENCIA DE APLICACIÓN

La capacidad de proteger una aplicación contra un desastre depende de proporcionar una

forma de restaurarla lo más rápidamente posible.
Un clúster es un tipo de software instalado en cada servidor en el que se ejecuta una
aplicación. Incluye software de gestión que permite controlar y ajustar el comportamiento
del clúster.
La agrupación en clúster protege contra puntos únicos de fallo en los que la pérdida de
un recurso resultaría en la pérdida de servicio o producción.
Existen dos tipos principales de clústeres de aplicaciones: activo-pasivo y activo-activo.
RESILIENCIA DEL ALMACENAMIENTO
DE DATOS

El método de protección de datos conocido

como RAID o arreglo redundante de discos
independientes (o de bajo costo) es el método
más común y básico utilizado para proteger los
datos contra la pérdida en un solo punto de fallo.
Los arreglos de almacenamiento proporcionan
características de replicación de datos, lo que
garantiza que los datos guardados en un disco
en un sitio aparezcan en el otro sitio.
REPLICA DE DATOS

Sincrónica

• La escritura local en disco se confirma al replicar los datos en otro sitio.

Asincrónica

• Los datos se reproducen de forma programada.

Adaptativa

• Conmutación entre sincrónica y asincrónica en función de la carga de la red.

RESILIENCIA DE LAS TELECOMUNICACIONES

El DRP también debe contener las redes de telecomunicaciones de la organización.

Son susceptibles a las mismas interrupciones que los centros de datos y otros
problemas, por ejemplo:
• Desastres en la oficina central de conmutación
• Corte de cables
• Infracciones de seguridad

Para proporcionar el mantenimiento de los procesos críticos de negocio, se deben

identificar las capacidades de telecomunicaciones para varios umbrales de interrupción
del servicio.
PROTECCIÓN DE RED

Enrutamiento Enrutamiento
Redundancia
alternativo diversificado

Diversidad Protección de
Recuperación
de redes de larga circuito de
por voz
distancia última milla
CONTROLES DE BIBLIOTECAS FUERA DE LA SEDE
(OFFSITE)

Acceso físico seguro a los Encriptación de los medios de Asegurarse de que la Ubicación de la biblioteca lejos
contenidos de la biblioteca, copia de seguridad, construcción física puede del centro de datos y desastres
accesible sólo a personas especialmente durante el soportar el calor, el fuego y el que pueden afectar a ambos a
autorizadas. transporte. agua. la vez.

Mantenimiento de un inventario
Mantenimiento de los registros
de todos los medios de Mantenimiento y protección de
de la biblioteca durante
almacenamiento y archivos un catálogo de información
períodos de retención
durante períodos de retención sobre los archivos de datos.
específicos.
específicos.
REPASO DEL DOMINIO 4

Como auditor SI, ahora debería poder:

• Evaluar la capacidad de la organización para continuar con las operaciones del negocio.
• Evaluar si las prácticas de gestión de servicios de TI están alineadas con los requerimientos del negocio.
• Realizar revisiones periódicas de los sistemas de información y la arquitectura de la empresa.
• Evaluar las operaciones de TI para determinar si están siendo controladas de manera eficaz y continúa para
respaldar los objetivos de la organización.
• Evaluar las prácticas de mantenimiento de TI para determinar si está siendo controladas de manera eficaz y
continúa para respaldar los objetivos de la organización.
• Evaluar las prácticas de gestión de bases de datos.
• Evaluar las políticas y prácticas del gobierno de datos.
• Evaluar las políticas y prácticas de gestión de incidentes y problemas.
• Evaluar las políticas y prácticas de gestión de cambios, configuración, versiones y parches.
• Evaluar la computación de usuario final para determinar si los procesos están siendo controlados de manera
eficaz.
• Evaluar las políticas y prácticas relacionadas con la gestión del ciclo de vida de los activos.
PREGUNTAS DE PRÁCTICA

97
 PREGUNTA DE PRÁCTICA

¿Cuál de los siguientes es el MEJOR indicador

de la efectividad de los procedimientos de copia
de respaldo y restauración en el caso de
restaurar datos después de un desastre?
A. Los miembros del equipo de recuperación
estaban disponibles.
B. Se cumplieron los objetivos de tiempo de
recuperación (RTO).
C. Se hizo un mantenimiento adecuado del
inventario de cintas de copias de respaldo.
D. Las cintas de copias de respaldo se restauraron
por completo en un sitio alternativo.
 PREGUNTA DE PRÁCTICA

Un auditor SI está revisando el plan de

recuperación de desastre (DRP) más reciente de
una organización. ¿Qué aprobación es la MÁS
importante para determinar la disponibilidad de
los recursos del sistema requeridos para el plan?
A. Dirección ejecutiva
B. Gerencia de TI
C. Consejo de dirección
D. Comité de dirección
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la manera MÁS

eficiente para probar la efectividad del diseño de
un proceso de control de cambios?
A. Probar una muestra de solicitudes de cambios
B. Probar una muestra de los cambios autorizados
C. Entrevistar al personal a cargo del proceso de
control de cambios
D. Realizar una verificación completa del proceso
 PREGUNTA DE PRÁCTICA

¿Cuál de los siguientes es el MAYOR riesgo de

una organización que utiliza los acuerdos
recíprocos para la recuperación de desastres
entre las dos unidades de negocio?
A. Los documentos contienen deficiencias legales.
B. Ambas entidades son vulnerables a un mismo
incidente.
C. Los sistemas TI no son idénticos.
D. Una de las partes tiene interrupciones más
frecuentes que la otra.
REPASO DEL DOMINIO 4

Como auditor SI, ahora debería poder:

• Evaluar la capacidad de la organización para continuar con las operaciones del negocio.
• Evaluar si las prácticas de gestión de servicios de TI están alineadas con los requerimientos del negocio.
• Realizar revisiones periódicas de los sistemas de información y la arquitectura de la empresa.
• Evaluar las operaciones de TI para determinar si están siendo controladas de manera eficaz y continúa para
respaldar los objetivos de la organización.
• Evaluar las prácticas de mantenimiento de TI para determinar si está siendo controladas de manera eficaz y
continúa para respaldar los objetivos de la organización.
• Evaluar las prácticas de gestión de bases de datos.
• Evaluar las políticas y prácticas del gobierno de datos.
• Evaluar las políticas y prácticas de gestión de incidentes y problemas.
• Evaluar las políticas y prácticas de gestión de cambios, configuración, versiones y parches.
• Evaluar la computación de usuario final para determinar si los procesos están siendo controlados de manera
eficaz.
• Evaluar las políticas y prácticas relacionadas con la gestión del ciclo de vida de los activos.