Auditoria de sistemas
Páginas: 5 (1216 palabras)
Publicado: 17 de diciembre de 2013
Auditoria de la recuperación de desastres y de la continuidad del negocio
Las tareas de auditoria incluyen:
Evaluar los planes de continuidad del negocio para determinar su adecuación y actualidad, mediante la revisión de los planes y su comparación con los estándares apropiados y/o las regulaciones gubernamentales
Verificar que los planes de continuidad del negocio son eficaces, mediantela revisión de los resultados de las pruebas previas realizadas por el personal de SSII y de usuario final
Evaluar el almacenamiento en sede remota para asegurar su adecuación, mediante la inspección de la instalación remota y la revisión de su contenido y los controles de seguridad y ambientales
Evaluar la habilidad del de SSII y usuario para responder eficazmente en situaciones de emergencia,mediante la revisión de los procedimientos de emergencia, la formación recibida por los empleados y los resultados de las pruebas
Billy - Revisión del Plan de Continuidad del Negocio
Cuando se hace la revisión del plan, el Auditor de SI debe verificar que son evidentes los elementos de un plan bien desarrollado. En las secciones anteriores se han detallado esos elementos. Además, deberealizarse una verificación específica de la información contenida dentro del plan:
Obtener una copia del Plan o manual de Recuperación de Desastre.
Realizar un muestreo de las copias distribuidas del manual y verificar que están actualizadas.
Evaluar la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperación de desastre.
¿Identifica el plan los puntos de reunióndel Comité de Administración de Desastre o el Equipo de Administración de Emergencia para decidir si debe iniciarse la recuperación de desastre?
¿Están adecuadamente documentados los procedimientos para una recuperación con éxito?
¿Trata el Plan desastres de diverso grado?
¿Se trata en el Plan el respaldo de las telecomunicaciones?
Revisar la identificación y el soporte planificado de lasaplicaciones críticas, incluyendo las que están basadas en PC o desarrollados por usuarios finales.
Determinar si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de desastre.
Determinar si se han identificado todas las aplicaciones.
Determinar si el hot-site tiene las versiones correctas del software de sistemas.
Revisar la corrección y exhaustividad de la lista depersonal de recuperación de desastre, contactos de emergencia con el hot-site, contactos de emergencia con proveedores, etc.
En la práctica realizar llamadas a una muestra de la gente indicada y verificar que sus números de teléfono y domicilios son correctos y que poseen una copia del manual de recuperación de desastre.
Entrevistarlos para obtener una comprensión de las responsabilidades quetienen asignadas en una situación de desastre.
Evaluar el procedimiento para actualizar el manual. ¿Se aplican y distribuyen las actualizaciones de manera oportuna? ¿Existen responsabilidades específicas respecto de mantener documentado el manual?
Además de los pasos anteriores:
Evaluar todos los procedimientos de emergencia por escrito para verificar que sean completos, adecuados, exactos ycomprensibles.
Determinar si todos los Equipos de Recuperación tienen procedimientos escritos a seguir en caso de un desastre.
Determinar si existe un procedimiento adecuado para actualizar los procedimientos de emergencia escritos.
Determinar si los procedimientos de recuperación de usuarios están documentados.
Determinar si el Plan trata adecuadamente el movimiento a la sede de recuperación.Determinar si el Plan trata adecuadamente la Recuperación de la Recuperación.
Determinar si los elementos necesarios para la reconstrucción de la instalación de proceso de datos se almacenan en otra sede (es decir, planos, inventario de hardware, diagramas de cableado, etc.).
¿Trata el Plan la reubicación en una nueva instalación de proceso de datos en el caso de que no pueda restaurarse el...
Las tareas de auditoria incluyen:
Evaluar los planes de continuidad del negocio para determinar su adecuación y actualidad, mediante la revisión de los planes y su comparación con los estándares apropiados y/o las regulaciones gubernamentales
Verificar que los planes de continuidad del negocio son eficaces, mediantela revisión de los resultados de las pruebas previas realizadas por el personal de SSII y de usuario final
Evaluar el almacenamiento en sede remota para asegurar su adecuación, mediante la inspección de la instalación remota y la revisión de su contenido y los controles de seguridad y ambientales
Evaluar la habilidad del de SSII y usuario para responder eficazmente en situaciones de emergencia,mediante la revisión de los procedimientos de emergencia, la formación recibida por los empleados y los resultados de las pruebas
Billy - Revisión del Plan de Continuidad del Negocio
Cuando se hace la revisión del plan, el Auditor de SI debe verificar que son evidentes los elementos de un plan bien desarrollado. En las secciones anteriores se han detallado esos elementos. Además, deberealizarse una verificación específica de la información contenida dentro del plan:
Obtener una copia del Plan o manual de Recuperación de Desastre.
Realizar un muestreo de las copias distribuidas del manual y verificar que están actualizadas.
Evaluar la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperación de desastre.
¿Identifica el plan los puntos de reunióndel Comité de Administración de Desastre o el Equipo de Administración de Emergencia para decidir si debe iniciarse la recuperación de desastre?
¿Están adecuadamente documentados los procedimientos para una recuperación con éxito?
¿Trata el Plan desastres de diverso grado?
¿Se trata en el Plan el respaldo de las telecomunicaciones?
Revisar la identificación y el soporte planificado de lasaplicaciones críticas, incluyendo las que están basadas en PC o desarrollados por usuarios finales.
Determinar si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de desastre.
Determinar si se han identificado todas las aplicaciones.
Determinar si el hot-site tiene las versiones correctas del software de sistemas.
Revisar la corrección y exhaustividad de la lista depersonal de recuperación de desastre, contactos de emergencia con el hot-site, contactos de emergencia con proveedores, etc.
En la práctica realizar llamadas a una muestra de la gente indicada y verificar que sus números de teléfono y domicilios son correctos y que poseen una copia del manual de recuperación de desastre.
Entrevistarlos para obtener una comprensión de las responsabilidades quetienen asignadas en una situación de desastre.
Evaluar el procedimiento para actualizar el manual. ¿Se aplican y distribuyen las actualizaciones de manera oportuna? ¿Existen responsabilidades específicas respecto de mantener documentado el manual?
Además de los pasos anteriores:
Evaluar todos los procedimientos de emergencia por escrito para verificar que sean completos, adecuados, exactos ycomprensibles.
Determinar si todos los Equipos de Recuperación tienen procedimientos escritos a seguir en caso de un desastre.
Determinar si existe un procedimiento adecuado para actualizar los procedimientos de emergencia escritos.
Determinar si los procedimientos de recuperación de usuarios están documentados.
Determinar si el Plan trata adecuadamente el movimiento a la sede de recuperación.Determinar si el Plan trata adecuadamente la Recuperación de la Recuperación.
Determinar si los elementos necesarios para la reconstrucción de la instalación de proceso de datos se almacenan en otra sede (es decir, planos, inventario de hardware, diagramas de cableado, etc.).
¿Trata el Plan la reubicación en una nueva instalación de proceso de datos en el caso de que no pueda restaurarse el...
Leer documento completo
Regístrate para leer el documento completo.