Proceso a auditar: DS4 garantizar la continuidad del servicio Objetivos de la auditoria - Analizar si la compañía cuentas con algún tipo de planes de contingencia para garantizar la continuidad de los servicios de TI dentro de la organización. - Determinar la madurez y cobertura de los planes de contingencia, en caso de que la organización los tenga, sobre los procesos críticos del negocio. - Analizar el impacto que puede causar sobre el quehacer de la organización la falla de los servicios de TI que no cuentan con un plan de continuidad del servicio. - Establecer la participación de las TI en los planes de contingencia en la organización. - Analizar si el área de TI tiene adecuadamente asignados los roles y responsabilidades en los planes de continuidad del servicio y en los controles preventivos. - Determinar si la organización está preparada adecuadamente para fallos en sus sistemas. Alcance La auditoria analizara todos los programas o políticas que intenten garantizar que el funcionamiento de los servicios de TI dentro de la compañía sea continuo y permanente y los controles actuales que garanticen la continuidad de los servicios prestados por las TI. Además se verificará que los planes de contingencia organizacionales tienen en cuenta las TI como elementos críticos del negocio. Área auditada Las personas encargadas de la gestión del área de sistemas, o que tengan como función el Análisis de Riesgos o la planificación de planes de contingencias asociados a las TI. Instrumentos utilizados para recopilar información: ENTREVISTA 1. ¿Existe alguna fuente de energía alterna que garantice el funcionamiento continuo del centro de cómputo? 2. ¿Existe algún procedimiento, como la creación de backup’s, que garantice la recuperación de los datos en el caso de algún fallo del sistema? 3. ¿Existen responsables designados para la realización de estas copias? 4. ¿Se llevan a cabo pruebas de los procedimientos de recuperación de datos? 5. ¿Existen procedimientos para asegurar que estas copias están adecuadamente protegidas y solo disponibles para el personal especialmente autorizado? 6. ¿Actualmente la organización posee alguna alternativa que permita la continuidad del desarrollo de los procesos normales, luego de una falla total en el sistema principal? 7. Algún tipo de centro de procesamiento alternativo que pueda permitir la continuidad de las actividades matutinas. 8. ¿Existe una asignación de responsabilidades por actividades en caso de que se deba llevar a cabo algún proceso de recuperación? 9. ¿Existe algún procedimiento para la documentación de recuperación de desastres? 10. ¿Existe un repositorio de información sobre desastres ocurridos anteriormente que provean un panorama para posibles errores a futuro? 11. ¿Se lleva a cabo dentro de la organización algún tipo de registro sobre los errores más comunes, que permita un análisis de probabilidad de ocurrencia de fallas? 12. ¿Existe dentro de la organización algún marco de continuidad de TI que tome en cuenta la estructura organizacional de la empresa y cada una de sus procesos? 13. ¿Se lleva a cabo revisiones periódicas del marco de continuidad de TI? 14. ¿Qué áreas de la organización participan de la creación y mantenimiento de este marco de continuidad? 15. ¿Se ha desarrollado un análisis de riesgo que involucre las TI dentro de los procesos críticos de la organización? 16. ¿Se priorizan estos procesos críticos de TI al momento de la asignación de recursos? 17. ¿Se lleva a cabo un seguimiento prioritario a los procesos críticos de TI de la organización? 18. ¿Se han probado los planes de continuidad del servicio para verificar si son efectivos? 19. ¿Se lleva a cabo un proceso de comunicación a todas las áreas de la organización de estos planes de continuidad? 20. ¿Existe algún tipo de entrenamiento a los usuarios involucrados con los procesos críticos de la organización en caso de algún altercado? ENCUESTA 1. ¿Conoce usted los planes de continuidad de TI que posee la organización? Si__ No__ 2. ¿Ha participado usted activamente de la creación de este plan de continuidad? Si__ No__ 3. ¿Ha participado usted de la creación de algún plan de contingencia que garantice la continuidad de la prestación de servicios de TI? Si__ No__ Cuales: _______________________________________________________________ 4. ¿Su organización ha realizado capacitaciones para la preparación de planes de contingencia al momento de que ocurra algún desastre o altercado? Si __ No __ Cuantas: __ 5. ¿Cada cuanto tiempo se llevan a cabo las capacitaciones? _____ 6. ¿Ha participado usted de algún tipo de prueba de un plan de continuidad de TI dentro de la organización? Si__ No__ REVISION DOCUMENTAL Añadir los documentos que se requieran para corroborar la información de la entrevista