Seminario de Auditoria de

Sistemas
PLAN DE CONTINUIDAD DEL
NEGOCIO

INTRODUCCIN

La dinmica de los cambios en los negocios, hace que el riesgo sea

constante.

El riesgo puede darse de diversas formas.

Gerentes, organizacin o el negocio en su integridad tiene que ser

ms proactivo en administrar el riesgo.

Problema

Determinar

el

universo

aplicable

del

riesgo,

identificando los ms probables que afecten a las tecnologas de

procesamiento de informacin.

Formular estrategias y tcticas para minimizar el riesgo y use la

informacin como un vehculo de control en la continuidad de las
operaciones del negocio.

Los riesgos tendran que ser identificados y administrados a fin de

asegurar la continuidad de las operaciones.

Las organizaciones de todo tamao estn identificando ms

actividades dependientes de TI.
Donde una organizacin deber empezar su bsqueda para
identificar el riesgo inherente a su negocio en particular y a su
ambiente de TI?

EL PLAN DE CONTINUIDAD DEL NEGOCIO

El mtodo ms efectivo para identificar y administrar el riesgo es a

travs del desarrollo e implementacin de un Plan de Continuidad

del Negocio(PCN).

El PCN, es un documento gua que permite al equipo ejecutivo, la

continuidad de las operaciones, ya que la tasa ha sido reducida,

cuando un riesgo se manifiesta mediante un evento destructivo

como: inundacin, terremoto, prdida de energa o virus informtico.

Un PCN, es en efecto un plan de negocios para operar un proceso o

funcin bajo condiciones extremadamente de stress y de tiempo
limitado.

Principal propsito de un PCN, asegurar la continuidad de las

operaciones del negocio.

Objetivo secundario cuantificar y cualificar la estructura de recursos

necesarios para apoyar los compromisos operacionales requeridos.

Un PCN, intenta limitar las prdidas tangibles y no tangibles

asociados con destruccin o desastre a travs de una serie de
procedimientos diseados a manejar las operaciones criticas

durante una situacin de emergencia.

EL DILEMA DE LA AUDITORA DEL PCN

Para la auditora de un PCN, existen tres resultados probables:

1.

El plan reune las expectativas,

2.

El plan no reune las expectativas, o

3.

No existe un plan.

El dilema es: donde el auditor empieza su proceso de revisin y

como esta determinado as como la viabilidad o aplicabilidad del

plan?

El ciclo de vida de un PCN tpicamente tiene cuatro secciones:

1.

Evaluacin del riesgo,

2.

Determinacin de alternativas de recuperacin,

3.

Implementacin del plan de recuperacin, y

4.

Validacin del plan de recuperacin.

Dentro de cada una de estas secciones del ciclo de vida, la fijacin

de recursos aplicables son manipulados para proveer a la
organizacin con la mejor mezcla de recursos crticos y con un costo
ptimo y un mnimo de prdidas tangibles e intangibles.

Estos recursos pueden ser dados dentro de los siguientes

componentes:
1.

Informacin,

2.

Tecnologa,

3.

Telecomunicaciones,

4.

Procesos,

5.

Personas, e

6.

Instalaciones.

Antes de evaluar un PCN y determinar su aplicabilidad y viabilidad,

un auditor deber responder algunas preguntas:
Existe personal y un comit para los procesos del PCN?

1.

Formal, existe plan escrito.

Existe comit administrativo que revise el desarrollo,

implementacin y mantenimiento de un PCN.

2.

El periodo de reunin de la junta cubre el PCN.

Cul es el nivel de compromiso de los diversos departamentos
en preparar el plan?

Cada

departamento

tiene

al

menos

un

representante(manufactura, contabilidad, legal, auditoria

interna/externa,

planilla,

recursos

departamentos

funcionalmente

humanos,
especficos

y
de

otros
la

organizacin).

El personal en cada departamento conoce que existe un

plan y entiende de cmo se implementa el plan.

EVALUACION DEL RIESGO

Primero entender el comienzo racional del ciclo de vida PCN
antes que cualquier actividad de la auditoria pueda empezar.
I.

La fase de evaluacin del riesgo

Empieza con los procesos del PCN y compromete:

Identificacin y documentacin de los riesgos TI y de la

organizacin;

Evaluar las funciones crticas del negocio necesarias para

continuar las operaciones;

Definir los controles que estn dadas para reducir la

exposicin;

Determinar la necesidad de controles adicionales; y

Evaluar los costos para todos los controles.

Adicionalmente, las entidades del negocio como usan y son

apoyados por TI a fin de determinar su nivel de dependencia TI.
De este modo, puede ser determinado los conductores de las

aplicaciones de las entidades crticas y procesos del negocio,

permitindonos visualizar aquellas aplicaciones y HW-TI que
podra apoyar a la organizacin en general en una situacin de
emergencia.

 Finalmente,

el

examen

ayuda

en

la

cuantificacin

calificacin de los impactos tangibles e intangibles sobre las

perdidas TI de la organizacin.
Como resultado directo de institucionalizar un
plan

de

recuperacin

completamente

desarrollado, la administracin conocer donde

residen todos sus recursos y como interactan

para que la empresa siga funcionando.

II.

La segunda fase del ciclo de vida del PCN:

Determinacin de la Alternativas de Recuperacin

Toma el informe de la primera fase y desarrolla las estrategias de
recuperacin y las tcticas correspondientes
comprobable y las limitaciones del tiempo.

basadas en el costo

 En esencia, la relacin es desarrollada entre la cantidad

anticipada de recursos financieros a ser gastados para la
recuperacin de la organizacin y sus componentes TI sobre un

periodo dado y la cantidad proyectada de ingresos perdidos y

costos incurridos como resultado del desastre.
En la figura siguiente, se puede apreciar que la recuperacin de
los recursos TI inmediatamente despus de un evento
interrumpido ser significativamente ms costoso que esperar

que el tiempo pase.

 Sin

embargo

la

estrategia

ptima

de

recuperacin,

financieramente hablando, podra no encontrarse en la

interseccin de las lneas de Impacto y Costo a Recuperar.

El movimiento a lo largo de la lnea del Costo a Recuperar

podra verse influenciada por intereses intangibles tales como

reduccin del servicio al cliente, o prdida de ventaja

competitiva debido a eso se acorta o prolonga la ventana de
recuperacin requerida como corresponde.

 Para entender y evaluar la fase de evaluacin de riesgo de los

procesos de un PCN, el auditor deber empezar con las
siguientes preguntas:

a) Se cuenta con un anlisis de evaluacin/impacto y ha sido

ejecutado y documentado por cada departamento?
b) Tiene cada departamento considerado diferentes tipos de
riesgos/incidentes

su

correspondiente

impacto

recuperacin sobre cada departamento y la organizacin

en general?

Falla elctrica,

Inundacin,

Incendio,

Error humano,

Fallas del sistema,

Accidente qumico,

Motines, y

Salidas de empleados.

c) El anlisis del riesgo evaluacin/impacto, evala el efecto

sobre

la

confidencia

condicin
de

financiera,
los

posicin

clientes,

competitiva,

requerimientos

legales/regulatorios?

d) La administracin entiende y tiene aprobado los resultados

del estudio de evaluacin del riesgo?

Los resultados del estudio son realistas considerando la

naturaleza del producto y del negocio.

Auditora interna ha ejecutado una evaluacin exacta de

la calidad de los procesos de evaluacin del riesgo.

 Una vez que los riesgos han sido identificados y el

planeamiento ha sido basado sobre estos riesgos, estrategias
continuas debern ser consideradas para el mejoramiento de

las estrategias existentes.

Estrategias de riesgos son establecidas para asistir a la
organizacin en dos vas:
1. Estar mejor preparado, ya que de acuerdo al conocimiento
obtenido se puedan preparar las estrategias.
2. Minimizar el impacto de un desastre.

 Elementos de la estrategia que pueden ser un enfoque para la

revisin del auditor y la que determinar si es aplicable a cada
unidad de negocios:

a) Asegurarse,

que

se

haya

identificado

informacin,

archivos, documentos, material crtico; as como el

personal clave.
b) Asegurarse, que los procesos de backup sean completos y

ejecutados regularmente y que los backup de datos sean

probados.

c) Mantenimiento mnimo de recuperacin de provisiones de

materiales del negocio, tales como revisin de stock,
formatos crticos y tambin para los que estn fuera de
localizacin.
d) Acuerdos para usos de UPS(suministro de energainterrupciones) para todos los sistemas de datos, voz con

la apropiada cantidad de tiempo de backup.

e) Acuerdos de servicios con proveedores claves que definen
tiempo de respuestas para reemplazar equipos y/o
servicios.
f)

Implementacin apropiada de sistemas/equipos.

g) Acuerdos para uso apropiado de sistemas de backup de

energa, tales como generadores y pruebas de stos
sobres una base regular.
h) Proveer proteccin a procesadores pequeos, tales como
servidores de departamentos y PC.
i)

Asegurarse de que existan apropiados detectores y

eliminadores de incendios en todas las reas.

j)

Implementacin de polticas y procedimientos para todo

material peligroso.

k) Instalacin apropiada de programas anti-virus a fin de

prevenir, detectar y corregir.

l)

Implementacin de polticas que cubra la conectividad

externa, tales como prcticas de Internet.

m) Polticas desarrolladas para la apropiada implantacin y

uso de passwords.
n) Polticas desarrolladas y polticas de seguridad de
informacin que cubra violaciones de copias.

Uso de SW sobre computadoras de la compaa.

Apropiada proteccin para datos transmitidos, incluye

autenticacin y encriptacin.

Apropiadas polticas de clasificacin de datos.

Prcticas de revelaciones de informacin.

Apropiado filtro de datos, a fin de disponer de disponer

de dispositivos de almacenamiento y/o cintas.

o) Polticas de viajes de ejecutivos (por ejemplo: nmero de

ejecutivos claves/total personal) que viajan juntos.

p) Obtener un nivel apropiado de seguro, tales como
interrupciones del negocio, reemplazo, costo extras, cdigo
de cumplimiento y procesamiento de datos.

ESTRATEGIAS DE RECUPERACIN
Las estrategias de recuperacin pueden estar ubicados, sobre tres
posibles escenarios:
1. Una estrategia de recuperacin predeterminada asume que
se puede obtener un recurso dado desde una fuente dada en
un muy corto tiempo sin la ayuda de un compromiso

contractual obligatorio.
2. Una estrategia de recuperacin predispuesta modifica una
estrategia predeterminada con un contrato por escrito que

describe las condiciones para la estrategia predeterminada y

que especifica las condiciones para la realizacin y uso de una
estrategia.

3. Una estrategia de recuperacin redundante describe la

seguridad de un duplicado exacto de un componente dado de
manera que el soporte (backup) y la restauracin puede ser
inmediato e idntico al sistema puesto que se ha producido
antes del incidente de interrupcin.

Entender las estrategias de recuperacin empleadas

por una organizacin involucra:

Revisar las estrategias de recuperacin para cada aplicacin y

evaluacin de factibilidad de estas estrategias.

Evaluar el nivel de dependencia en TI y otros recursos.
La dependencia es real y representa las necesidades y
capacidades de la organizacin.
Los requerimientos para la recuperacin se basan en la exposicin
razonada y documentada de las funciones empresariales vitales
identificadas durante la fase de evaluacin del riesgo.

IMPLEMENTACIN DEL PLAN DE CONTINUIDAD

III.

La tercera fase del ciclo de vida del PCN

Implementacin del Plan de Continuidad, toma la informacin

de la primera fase del proceso de BCP y crea los principios

bsicos

para

el

desarrollo

mantenimiento

documento real del plan de recuperacin.

Segn recientes estudios, la mayora de

los planes de recuperacin no son ms
que listas de los porqu (call lists) de la

emergencia. Las listas de los porqu son

importantes, pero solo son una pequea
parte del plan.

continuo

del

La administracin de los procedimientos actuales de control de

cambio, demanda una revisin de la prueba ms reciente en su
integridad del plan de recuperacin.

Identificacin

de

los

individuos

responsables del mantenimiento en

las diferentes secciones del plan de
recuperacin, y el ritmo apropiado de
los ciclos peridicos de revisin del
plan.

Un plan de continuidad empresarial es un documento propicio para

el usuario. Un individuo que podra estar no muy familiarizado con
el proceso empresarial

puede leerlo

realizar una funcin

empresarial de una manera razonable. El plan podra incluir las

siguientes categoras e items (Pero no se encuentran limitados a
ellos)
1. Informacin general,
2. Procedimientos administrativos,
3. Procedimientos de la continuidad operacional,

4. Procedimientos de recuperacin de los sistemas de

informacin, y
5. Planes para reasumir la aplicacin.

Una completa evaluacin de la calidad de un PCN incluye la

determinacin de lo siguiente:

El plan integra de manera exitosa los requerimientos de

procesamiento de la informacin con los requerimientos
actuales del negocio?

Existen procedimientos para las actividades manuales?

Es actual la lista llamadas para notificar/escala?

Todos los recursos crticos han sido identificados segn su

funcin?

Han

sido identificados debidamente

recuperacin?

los equipos de

Son las responsabilidades y actividades de los equipos de

recuperacin totalmente delineadas?

Son identificadas y priorizadas las aplicaciones y funciones

crticas?

Son identificados los requerimientos de los proveedores y

existe contratos formales con stos outsourcing?

Cualquiera de los anteriormente identificado tiene autoridad

durante una recuperacin?

Existe un plan dentro del plan para restaurar las operaciones

en la casa principal?

El plan refleja el modo actual de hacer los negocios?

Son los sistemas de procedimientos de restauracin parte del

plan?

Estn los procedimientos de recuperacin basados sobre los

eventos de causas o alcance del dao?

Estn identificados los procedimientos para notificar al lugar y

declarar un desastre?

Existe al menos una copia del plan, mantenido en una

localizacin fuera de la empresa?

RATIFICACIN DEL PLAN DE CONTINUIDAD

IV.

La cuarta y ltima fase del ciclo de vida del BCP:

Ratificacin del Plan de Continuidad

Involucra la capacitacin y prueba relacionada con la verificacin

y ratificacin de la habilidad de la organizacin para recuperar las
actividades interrumpidas de TI.

El auditor debe investigar si los tres grupos aplicables de

empleados (equipos de recuperacin, Administracin TI, y otros
empleados involucrados) han sido capacitados completamente
en sus respectivas responsabilidades durante una situacin de
desastre o emergencia.

Un plan de recuperacin se evala segn sus principios bsicos

regulares para ver su viabilidad. Una revisin de los resultados
de la prueba de recuperacin asegura que la prueba haya sido
completa y simule un desastre real.
Cada departamento debe

recibir el nivel apropiado de

capacitacin para una

recuperacin.

HALLAZGOS REPRESENTATIVOS
Se complet un estudio en las que 23 compaas fueron auditadas a
fin de determinar qu riesgos eran los ms prevalecientes dentro del

entorno del centro de datos. Hubieron 256 hallazgos en total

generados de esta auditora.
Como se muestra en la figura siguiente, todos estos hallazgos

podran ser agrupados en siete categoras de riesgos principales:

energa

elctrica,

compaa,

seguridad,

arquitectura

fsica,

documentacin, arquitectura del sistema, almacenamiento de

medios, y perfil alto.

1. La primera categora de riesgo, problemas con el suministro

elctrico, fue experimentada en el 57 por ciento de las
compaas.
2. El riesgo de la seguridad de la compaa fue una recoleccin de
la seguridad fsica, intervencin humana, y problemas comunes y
abarc el 35% de todos los incidentes de riesgo en la
muestra.
3. El riego de arquitectura fsica agrupa los peligros de fuego,
ubicacin de la instalacin, arquitectura de la instalacin, y
tendencia a los daos por inundacin y abarca el 12 por ciento
de todos los incidentes de riesgo.
4. El riesgo ms grande es la falta de una buena documentacin y
proceso del sistema. En general, el 27 por ciento de todos los
incidentes de riesgo abarcaron este problema.

5. A pesar que solo el 6 por ciento de los incidentes de riesgo

apuntaron al riesgo de la arquitectura del sistema, el 48 por
ciento de las compaas encontraron este problema.
6. Finalmente, el 9 por ciento de las compaas experiment un

mayor riesgo debido a la naturaleza de su empresa. Esto a su

vez podra haber llevado a una tendencia de ubicar los recursos
TI en un mayor riesgo.

Elementos de la Gestin de Riesgos

La funcin de la gestin de riesgo del software es identificar,
estudiar y eliminar las fuentes de riesgo antes de que empiecen a
amenazar la finalizacin satisfactoria de un proyecto software.

Niveles de Gestin de
Riesgo
1.- Control de crisis.

2.- Arreglar cada error.

3.- Mitigacin de riesgo.

4.- Prevencin.

5.- Eliminacin de las causas principales.

Estimulacin de Riesgo

La identificacin de riesgo genera una lista de riesgos capaces

de romper la planificacin del proyecto.
El anlisis de riesgo mide la probabilidad y el impacto de cada
riesgo, y los niveles de riesgo de los mtodos alternativos.
La asignacin de prioridades a los riesgos genera una lista de
riesgos ordenados por su impacto. Esta lista sirve como base

para el control de riesgo.

Control de Riesgo
La planificacin de la gestin de riesgos genera un plan
para tratar cada riesgo significativo.
La resolucin de riesgos es la ejecucin del plan para
resolver cada uno de los riesgos significativos.
La monitorizacin de riesgos es la actividad del proceso de
la monitorizacin dirigido a la resolucin de cada elemento
de riesgo.

Riesgos ms Comunes en Planificacin

1.

Cambio de requisitos.

2.

Meticulosidad en requerimientos o desarrolladores.

3.

Escatimar en la calidad.

4.

Planificaciones demasiado optimistas.

5.

Diseo inadecuado.

6.

Sndrome de la panacea.

7.

Desarrollo orientado a la investigacin.

8.

Personal mediocre.

9.

Error en la concentracin.

10.

Diferencias entre el personal de desarrollo y los clientes.

Anlisis de Riesgo
Una vez que haya identificado los riesgos de
planificacin de su proyecto, el paso siguiente

es analizar cada riesgo para determinar su impacto.

Exposicin a Riesgo
La exposicin a riesgo es igual a la probabilidad de prdida no

esperada multiplicada por la magnitud de la prdida. Por

ejemplo, si piensa que la probabilidad puede ser del 25 por 100
y puede haber un retraso de cuatro semanas sobre la duracin

del proyecto, la exposicin al riesgo sera 25 por 100

multiplicado por cuatro semanas, es decir, una semana.

Cualquier aporte, sugerencia y/o crtica

srvase dirigirse a la direccin
electrnica asanchez@utpaqp.edu.pe
al mvil 958757343
Todos los derechos estn protegidos por la
leyes nacionales de proteccin a la
propiedad intelectual

51