Proceso a auditar: DS4 garantizar la continuidad del

Anuncio
Proceso a auditar: DS4 garantizar la continuidad del servicio
Objetivos de la auditoria
- Analizar si la compañía cuentas con algún tipo de planes de contingencia para
garantizar la continuidad de los servicios de TI dentro de la organización.
- Determinar la madurez y cobertura de los planes de contingencia, en caso de
que la organización los tenga, sobre los procesos críticos del negocio.
- Analizar el impacto que puede causar sobre el quehacer de la organización la
falla de los servicios de TI que no cuentan con un plan de continuidad del
servicio.
- Establecer la participación de las TI en los planes de contingencia en la
organización.
- Analizar si el área de TI tiene adecuadamente asignados los roles y
responsabilidades en los planes de continuidad del servicio y en los controles
preventivos.
- Determinar si la organización está preparada adecuadamente para fallos en
sus sistemas.
Alcance
La auditoria analizara todos los programas o políticas que intenten garantizar que el
funcionamiento de los servicios de TI dentro de la compañía sea continuo y permanente y
los controles actuales que garanticen la continuidad de los servicios prestados por las TI.
Además se verificará que los planes de contingencia organizacionales tienen en cuenta
las TI como elementos críticos del negocio.
Área auditada
Las personas encargadas de la gestión del área de sistemas, o que tengan como función
el Análisis de Riesgos o la planificación de planes de contingencias asociados a las TI.
Instrumentos utilizados para recopilar información:
ENTREVISTA
1. ¿Existe alguna fuente de energía alterna que garantice el funcionamiento continuo
del centro de cómputo?
2. ¿Existe algún procedimiento, como la creación de backup’s, que garantice la
recuperación de los datos en el caso de algún fallo del sistema?
3. ¿Existen responsables designados para la realización de estas copias?
4. ¿Se llevan a cabo pruebas de los procedimientos de recuperación de datos?
5. ¿Existen procedimientos para asegurar que estas copias están adecuadamente
protegidas y solo disponibles para el personal especialmente autorizado?
6. ¿Actualmente la organización posee alguna alternativa que permita la continuidad
del desarrollo de los procesos normales, luego de una falla total en el sistema
principal?
7. Algún tipo de centro de procesamiento alternativo que pueda permitir la
continuidad de las actividades matutinas.
8. ¿Existe una asignación de responsabilidades por actividades en caso de que se
deba llevar a cabo algún proceso de recuperación?
9. ¿Existe algún procedimiento para la documentación de recuperación de
desastres?
10. ¿Existe un repositorio de información sobre desastres ocurridos anteriormente que
provean un panorama para posibles errores a futuro?
11. ¿Se lleva a cabo dentro de la organización algún tipo de registro sobre los errores
más comunes, que permita un análisis de probabilidad de ocurrencia de fallas?
12. ¿Existe dentro de la organización algún marco de continuidad de TI que tome en
cuenta la estructura organizacional de la empresa y cada una de sus procesos?
13. ¿Se lleva a cabo revisiones periódicas del marco de continuidad de TI?
14. ¿Qué áreas de la organización participan de la creación y mantenimiento de este
marco de continuidad?
15. ¿Se ha desarrollado un análisis de riesgo que involucre las TI dentro de los
procesos críticos de la organización?
16. ¿Se priorizan estos procesos críticos de TI al momento de la asignación de
recursos?
17. ¿Se lleva a cabo un seguimiento prioritario a los procesos críticos de TI de la
organización?
18. ¿Se han probado los planes de continuidad del servicio para verificar si son
efectivos?
19. ¿Se lleva a cabo un proceso de comunicación a todas las áreas de la organización
de estos planes de continuidad?
20. ¿Existe algún tipo de entrenamiento a los usuarios involucrados con los procesos
críticos de la organización en caso de algún altercado?
ENCUESTA
1. ¿Conoce usted los planes de continuidad de TI que posee la organización?
Si__ No__
2. ¿Ha participado usted activamente de la creación de este plan de continuidad?
Si__ No__
3. ¿Ha participado usted de la creación de algún plan de contingencia que garantice
la continuidad de la prestación de servicios de TI?
Si__ No__
Cuales:
_______________________________________________________________
4. ¿Su organización ha realizado capacitaciones para la preparación de planes de
contingencia al momento de que ocurra algún desastre o altercado?
Si __ No __
Cuantas: __
5. ¿Cada cuanto tiempo se llevan a cabo las capacitaciones?
_____
6. ¿Ha participado usted de algún tipo de prueba de un plan de continuidad de TI
dentro de la organización?
Si__ No__
REVISION DOCUMENTAL
Añadir los documentos que se requieran para corroborar la información de la entrevista
Descargar