Auditora de Sistemas Informticos

09 de Abril 2015

Contenido del curso

(Fuente: Syllabus del curso, actualizado al 25/11/2014)

En la clase anterior
Auditora al
sistema de
control de
cambios de
los programas

Tcnicas de
auditora
computarizad
as (CAAT)
Aplicacin de
las CAAT

(DEV)
Adquisicin,
desarrollo e
implementaci
n de sistemas
de informacin
(Semana 10)

Beneficios y
dificultades de
las CAAT

Uso de
software de
auditora

ACL

IDEA

Por qu CAAT
y no Excel?
Ejecucin de
pruebas CAAT

Tarea Examen
Final

Semana 14
Tcnicas de transacciones de pruebas.
Uso de herramientas de cuarta
generacin.
Plan de contingencias y recuperacin
de desastres.
Identificacin de riesgos.
Identificacin de aplicaciones crticas.
Responsabilidad durante el desastre.

Temas a tratar
Tcnicas de
transacciones
de pruebas

Pruebas CAAT (semana 13)

Uso de
herramientas
de cuarta
generacin

Mapas mentales para examen final.

Gestin de la
Continuidad
del Negocio

Poltica de la continuidad de negocio

Estrategia de continuidad de negocio
Respuesta a la continuidad del negocio
Pruebas del DRP y BCP
Mejoras a la continuidad del negocio
Capacitacin y difusin de la continuidad del
negocio
Respaldo y recuperacin de la informacin
Revisiones post reanudacin de la
continuidad de negocio

Gestin de la
Continuidad del
NegocioPlan de Recuperacin ante
DRP

Desastres.

Recuperacin de los sistemas de informacin e infraestructura

despus de un evento catastrfico (desastre natural, prdida de
energa, etc.).
Enfoque principal: Reconstruir la organizacin.

BCP

Plan de Continuidad del

Negocio.

Recuperacin de los procesos crticos de negocio para mantener

activa a la organizacin luego de una interrupcin de las
operaciones.
Se ejecuta luego del DRP o en paralelo.
Enfoque principal: Mantener las operaciones de la
organizacin.

CMP

Plan de Gestin de Crisis.

Gestin del proceso de recuperacin en conjunto (negocio y

tecnologa de informacin).
Realiza el control de los daos.
Enfoque principal: Lograr una recuperacin exitosa segn
lo planificado.

(Fuente:
DSS04
Gestin de
la
Continuidad
- COBIT 5)

Poltica de continuidad de
negocio
Poltica de
continuidad
Definir y del
documentar
negocio los

Identificar
procesos de
negocio y de
soporte crticos
para las
operaciones o
necesarios para
cumplir
obligaciones
regulatorias.

Procesos crticos
identificados

objetivos y el
alcance de la
poltica de
continuidad del
negocio y
difundir la poltica
a los interesados
clave.

Identificar a los
interesados clave
y los roles y
responsabilidad
es para definir y
acordar la poltica
de continuidad y
su alcance.

Identificar
procesos de TI
asociados a los
procesos de
negocio y de
soporte crticos
identificados.

Estrategia de continuidad
de negocio
Identificar escenarios potenciales que puedan dar pie a eventos
disruptivos importantes.

Anlisis de impacto
en el negocio (BIA)

Requerimientos de
continuidad

Opciones
estratgicas
aprobadas

Realizar un anlisis de impacto en el negocio para evaluar el

impacto en funciones crticas del negocio.
Establecer el tiempo mnimo necesario para recuperar un
proceso de negocio y su soporte de TI, basndose en la
interrupcin mxima tolerable.
Analizar la probabilidad de amenazas que puedan causar prdidas
de continuidad de negocio e identificar medidas que puedan reducir
la probabilidad y el impacto.
Analizar los requerimientos de continuidad para identificar las
posibles estrategias de negocio y opciones tcnicas.
Determinar las condiciones y los responsables de decisiones clave
que puedan causar la invocacin de los planes de continuidad.
Identificar los requerimientos de recursos y costes para cada
opcin tcnica estratgica y realizar recomendaciones
estratgicas.
Obtener la aprobacin de los ejecutivos de negocio para las
opciones estratgicas seleccionadas.

Respuesta a la continuidad
del negocio
Plan de
Recuperacin ante
Desastres (DRP)

Definir las
acciones
de
respuesta
a
incidentes
, los roles y
responsabili
dades.

Desarrollar y
mantener
planes de
continuidad
de negocio
que contengan
los
procedimiento
s para permitir
continuar
operando los
procesos
crticos de
negocio.

Asegurar que
los
proveedores y
socios
externos clave
tengan
implantados
planes de
continuidad
efectivos.

Definir los
recursos
necesarios
para soportar
los
procedimient
os de
continuidad y
recuperacin,
considerando
personas,
instalaciones e
infraestructura
de TI.

Definir los
procedimiento
s de
recuperacin
que permitan la
reanudacin de
los procesos de
negocio,
incluyendo la
actualizacin y
conciliacin de
las bases de
datos para
preservar la
integridad de
Plan de Continuidad
la informacin.

del Negocio (BCP)

Pruebas del DRP y BCP

Cronograma de
pruebas de DRP y
BCP
Plan de pruebas de
DRP y BCP

Definir los objetivos para ejecutar y probar los

procedimientos definidos para los planes establecidos (DRP y
BCP).

Definir y acordar ejercicios que sean razonables con los

interesados, e incluir acuerdos de retencin de datos que
ocasionen la mnima disrupcin en los procesos de negocio.

Asignar roles y responsabilidades para ejecutar las pruebas

para los planes establecidos (DRP y BCP).

Resultados de la
ejecucin de las
pruebas de DRP y
BCP

Ejecutar los ejercicios y los procedimientos tal como se

indica en los planes establecidos (DRP y BCP).

Realizar un anlisis y revisin post-ejercicio para evaluar los

resultados de las pruebas.

Recomendaciones de
actualizacin del
DRP y BCP

Desarrollar recomendaciones para mejorar los planes

establecidos (DRP y BCP) en base a los resultados de la
revisin.

Mejoras a la
continuidad del
negocio

Revisar los
planes
establecidos
(DRP y BCP)
de forma
regular
frente a los
cambios en
la
organizacin
y el entorno.

Si es
necesario,
revisar el
anlisis de
impacto en
el negocio
(BIA),
dependiendo
de la
naturaleza
de los
cambios.

Plan de
Recuperacin ante
Desastres (DRP)
actualizadoRevisar el
impacto de
Lograr la
los cambios
aprobacin
en los
de los
procedimie
cambios en
ntos de
las polticas y
recuperaci
planes
n asociados
establecidos
a
y difundir los
infraestruct
cambios a
ura,
los
tecnologa
interesados
y sistemas
clave.
de
informacin
Plan de Continuidad.
del Negocio (BCP)
actualizado

Capacitacin y difusin de
la continuidad del negocio
Definir y mantener los planes
y requerimientos de
capacitacin para quienes
realicen de manera continuada
planificacin de la continuidad,
anlisis de impacto,
evaluaciones de riesgos,
comunicacin con los medios y
respuesta a incidentes.

Material de
capacitacin en
continuidad del
negocio
Supervisar habilidades y
competencias basndose en los
resultados de los ejercicios y las
pruebas.

Requerimientos de
capacitacin en
continuidad del
negocio

Asegurar que los planes de

capacitacin consideren la
frecuencia de las sesiones y
los mecanismos de entrega
de la capacitacin.

Actas de sesiones de
capacitacin
Desarrollar competencias
basadas en una capacitacin
prctica que incluya la
participacin en ejercicios y
pruebas.

Respaldo y recuperacin de la
informacin
Contenido

Cronograma de
ejecucin de
copias de respaldo

Sistemas de informacin, datos, documentos, etc.

Tipos de datos (digital, voz, pticos, etc.).
Datos de clculos crticos de usuario final (por ejemplo, hojas de clculo)

Planificacin
Frecuencia (diaria, semanal, mensual)
Medio (cintas, DVD, discos espejo, etc.).
Tipo (completa o incremental).

Ejecucin
Guas de envo de
copias de respaldo
al sitio alterno

Configuracin de la herramienta de ejecucin de copias de respaldo.

Almacenamiento
Localizacin fsica y lgica.
Traslado a un sitio alternativo.

Seguridad
Cronograma de
pruebas de
restauracin de
copias de
respaldo

Registro (log) de
ejecucin de
copias de
respaldo

Inventario de
copias de
respaldo

Resultado de las
pruebas de
Privilegios de acceso.
restauracin de
Cifrado.
las copias de
Restauracin
respaldo
Realizar peridicamente pruebas de restauracin a las copias de
respaldo.
Solicitar aprobacin de la gerencia usuaria para restaurar la informacin

Revisiones post
reanudacin de la
continuidad de negocio
Informe de
resultados post
reanudacin

Evaluar los
resultados de los
planes establecidos
(DRP y BCP)

Determinar la
efectividad de los
planes, cumplimiento de
roles y responsabilidades,
aplicacin de
Identificar debilidades ycompetencias.
hacer recomendaciones
para la mejora de los
planes.
Plan de
Recuperacin ante
Desastres (DRP)
actualizado

Plan de Continuidad
del Negocio (BCP)
actualizado
Lograr la aprobacin de
la gerencia para aplicar
los cambios en los planes.

Conclusiones

Los planes y polticas de Recuperacin ante

Desastres y Continuidad del Negocio, requieren el
apoyo de la Alta Direccin para poder ser
implementados efectivamente.
Los procedimientos de los planes DRP y BCP
deben ser adecuados y suficientes para
recuperar las operaciones de TI y del negocio en
los tiempos esperados.
Es indispensable realizar las pruebas a los planes
DRP y BCP por lo menos una vez al ao y
revisar los resultados de dichas pruebas.
Las copias de respaldo deben almacenarse no slo
en la organizacin, si no trasladarse a un sitio
alterno para su almacenamiento seguro.

Conclusiones del
curso
Capacitaci
n
continua

Criterio

Empata

tica

Prxima clase
Examen Final
Semana 11: Reportando debilidades de
control interno
Semana 12: Segregacin de funciones
Semana 13: Tcnicas de auditora
computarizadas (CAAT).
Semana 14: Gestin de la continuidad
del negocio.
No olvidar traer el mapa mental
impreso (ver Nimbus, semana 13).

Gracias, totales!
Ing. Johana Cevallos Vera
c14171@grupoutp.edu.pe