REYES CORREA GERSON SILVA VIVAR DANIEL VILLAFUERTE COBOS ANGI BCI (PLAN DE CONTINUIDAD DEL NEGOCIO)
• Un plan de continuidad del negocio (o sus siglas
en inglés BCP, por Business Continuity Plan) es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones después de una interrupción no deseada o desastre. EVALUACIÓN DE LA SEGURIDAD EN LA EMPRESA OBJETO DE LA AUDITORÍA • Aquí se determinará si el Plan de Continuidad del Negocio o BCP considera todas las áreas de la empresa de manera integral incluso desde la estrategia, incorporando el DRP en conjunto con los elementos mínimos requeridos para continuar con la operación del negocio.
• Se examinará si existe apoyo a los procesos que se consideran
críticos para que la organización continúe funcionando en una situación extraordinaria, a pesar de una situación incontrolable en el entorno. IDENTIFICACIÓN Y AGRUPACIÓN DE RIESGOS A continuación, se listarán los riesgos que pueden afectar a la organización. Desastres naturales inesperados dentro de la organización. Amenazas a los recursos de TI que comprenden el uso de información vital dentro de la empresa. Amenazas a la infraestructura Arquitectónica/Civil y de TI. INVESTIGACIÓN PRELIMINAR • En esta etapa se determinará si la empresa cuenta con un Plan de Continuidad del Negocio, con el fin de estimar el alcance de la auditoria. Se llevará a cabo una revisión general y una visita a la empresa, para definir los pasos a seguir.
• Se conocerá de manera global los planes que conforman el
Plan de Continuidad del Negocio y que tan completo están con el fin de definir a que se le hará Auditoria e identificar los elementos que apoyan dichos planes. TIPOS DE PLANES QUE COMPLEMENTAN EL PLAN DE CONTINUIDAD DEL NEGOCIO
• Plan de comunicación de crisis: contiene los procedimientos
que las organizaciones deben preparar ante un desastre. • Planes de evacuación por edificio: Contiene los procedimientos que deben seguir los ocupantes de una instalación en una situación se convierta en una amenaza potencial a la salud y seguridad del personal • Plan de continuidad de operaciones (COOP): Orientado a restaurar las funciones esenciales de una sede o filial de la entidad en una sede alterna y realizar aquellas funciones por un período máximo de 30 días antes de retornar a las operaciones normales. • Plan de respuesta a cyber-incidentes: Establece procedimientos para responder a los ataques en el ciberespacio contra un sistema de Tecnología Informática (TI) de una entidad. tales como: Acceso no autorizado a un sistema o dato, Negación de servicio, Cambios no autorizados a HW, SW o datos. • Planes de contingencia de TI: orientado a ofrecer un método alterno para sistemas de soporte general y para aplicaciones importantes • Plan de recuperación de desastres (DRP): Orientado a responder a eventos importantes, usualmente catastróficos que niegan el acceso a la facilidad normal por un período extendido. • Plan de recuperación del negocio: Permite restaurar un proceso de negocio después de una emergencia FASES DE UN PLAN DE CONTINUIDAD DE NEGOCIO.
Fase 0. Determinación del alcance. es recomendable comenzar
por aquellos departamentos o áreas con mayor importancia y progresivamente ir ampliando la continuidad a toda la organización.. Fase 1. Análisis de la organización. Durante esta fase recopilamos toda la información necesaria para establecer los procesos de negocio críticos, los activos que les dan soporte y cuáles son las necesidades temporales y de recursos. Fase 2. Determinación de la estrategia de continuidad. Conocidos los activos que soportan los procesos críticos, debemos determinar si en caso de desastre, seremos capaces de recuperar dichos activos en el tiempo necesario. Fase 3. Respuesta a la contingencia. A partir de las estrategias de recuperación escogidas, se realiza la selección e implantación de las iniciativas necesarias, y se documenta el Plan de Crisis y los respectivos documentos para la recuperación de los entornos. Fase 4. Prueba, mantenimiento y revisión. A partir de la infraestructura tecnológica de nuestra empresa, desarrollaremos los planes de prueba y mantenimiento. Fase 5. Concienciación. Además del análisis y la implantación. es necesario que tanto el personal técnico como los responsables de nuestra empresa conozcan qué es y qué supone el Plan de Continuidad de Negocio, así como qué se espera de ellos. PROGRAMA DE AUDITORIA Con el fin de llevar a cabo la auditoria específica referente a BCP, se llevara a cabo el siguiente programa de Auditoria: 1. Investigación Preliminar. 2. Identificación y Agrupación de Riesgos 3. Evaluación de la Seguridad en la empresa objeto de la Auditoría 4. Diseño de Pruebas de Auditoría 5. Ejecutar Pruebas de Auditoría 6. Elaboración de Informe de Auditoría AUDITORÍA INTERNA EN EL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) • La prevención de riesgos es una de las principales responsabilidades de auditoría interna. Ahora bien, si el plan de continuidad del negocio es parte indispensable de dicha prevención, todos sus componentes e implicaciones, deben incluirse en el plan anual de auditoría. Prevención, preparación, respuesta y recuperación son los elementos básicos del BCP. A auditoría interna le corresponde incluir todos los componentes básicos de cada uno de dichos elementos, en su programa de trabajo y, sin comprometer sus propias funciones, sugerir ajustes en puntos críticos del BCP
Ahora bien, el trabajo de auditoria durante un desastre será el
dar soporte al gobierno corporativo sobre la activación, ejecución y monitoreo del BCP, cerciorándose de su eficacia y actuando en forma preventiva CONCLUSIÓN Considerando los riegos y amenazas que se enfrentan en un mundo globalizado como el actual, el BCP debe formar parte del plan estratégico de la entidad; y con el liderazgo del gobierno corporativo, todo el personal de la empresa debe estar involucrado en su preparación, cumplimiento y actualización permanente, auditoría interna debe involucrarse en todos los procesos que se identifican con el desarrollo y el mantenimiento del BCP, e incluir en su plan anual el tiempo y los recursos necesarios para llevar a cabo su trabajo excediendo las expectativas de la empresa y de sus accionistas.
Integración de La Estrategia de Protección de Activos de Información Al Plan de Recuperación de Desastres de Una Casa de Software Bajo La Norma Gtc-Isots 22317 - 2015
3.2 - Actividad. Ensayo de la importancia de las nuevas auditorías basadas en Riesgos y de Tecnologías de Información, Plan de Continuidad de Negocio (BCP).