uneg-as 2012-inf6: auditorías de rutina y reglamentarias. auditoría de sistemas y centros de...
TRANSCRIPT
Vicerrectorado Académico
Coordinación de Pregrado
Proyecto de Carrera: Ingeniería en Informática
Auditorias de Rutinas y Reglamentarias. Auditorias de Sistemas y Centros de
procesamientos. Gestión de continuidad del negocio, Diseño y Evaluación de
Planes de Contingencias.
Bachilleres:
Profesor Cedeño Irene CI: 19.095. 157
Guevara Carlos Guerrero Eucaris CI: 20.037.002
Noriega Rafael C.I: 20.036.138
Ciudad Guayana 30 de mayo de 2012
2
INDICE
Contenido N° Pag
Introducción ..…………………………………………………………… 5
UNEG-AS
Objetivo General
Objetivos Específicos ….………………………………………..
7
Auditorias de Rutinas y Reglamentarias, Auditoria de Sistemas y Centros
de Procesamientos, Gestión de Continuidad, Diseño y Evaluación de Planes
de Contingencias
Objetivos General
Objetivos
Específicos……………………………………………………….
8
Auditoria de Rutina
Concepto
Características .……………………………………………….....
Objetivos
Ventajas ..………………………………………………………..
Desventajas
Formulario……………………………………………………….
9
10
11
Auditoria Reglamentaria
Concepto ….…………………………………………………….
Objetivos
Formulario Para la Auditoria Reglamentaria ……………………
Informe de Auditoria ……………………………………………
15
16
17
Auditoria de Sistemas
Concepto …………………………………………………………
Objetivos …………………………………………………………
Cuestionario Para el Control de Proyectos de Sistemas ………….
18
19
20
3
Auditoria de Centros de Procesamientos
Concepto
Aspectos …………………………………………………………
21
Gestión de la Continuidad de Negocio
Concepto ………………………………………………………….
Políticas
Guías
Procesamientos ……………………………………………………
Planificación y Despliegue
Estructura Organizativa
Análisis de Impacto en el Negocio ………………………………..
Gestión de la Seguridad
Gestión Documental
Gestión del Cambio ……………………………………………….
Gestión de Auditorias
Acuerdos a nivel de Servicios
Planificación ……………………………………………………
22
23
24
25
26
Planes de Contingencias
Concepto ………………………………………………………….
Características Principales ………………………………………..
Inventario de Sistemas
Plan de Mantenimiento
Políticas de Backups
Plan de Recuperación ante Desastres o de Contingencia ……….
Inventarios de Sistemas
Análisis de Riesgos y Clasificación …………………….
Elaboración del Plan de Contingencias
Asignación de Responsabilidades ………………………
Calendario de Implantación
Plan de Pruebas y Simulaciones …………………………
26
27
28
29
30
31
4
Estrategias de Búsqueda de Información Aplicada
Proceso de Diseño Seguido
Búsqueda y Recuperación de la Información ……………………
Análisis y Tratamiento de la Información ……………………….
Herramientas Utilizadas
Proceso de Toma de Decisión de la Herramienta Usada …………………
Planificación ……………………………………………………………..
Conclusiones ……………………………………………………………..
Referencias Bibliográficas …………………………………………….....
32
33
34
35
36
38
5
INTRODUCCION
La Auditoría es una función de dirección cuya finalidad es analizar y
apreciar, con vistas a las eventuales las acciones correctivas, el control interno de
las organizaciones para garantizar la integridad de su patrimonio, la veracidad de
su información y el mantenimiento de la eficacia de sus sistemas de gestión. La
tipología que puede dividir la auditoría depende, esencialmente, de la necesidad
empresarial de establecer controles o pautas en el cumplimiento de las actividades
que se desenvuelven en el ámbito de la organización dentro de este marco de
necesidades empresariales encontramos:
Auditoria de Rutina: (Concepto, características, objetivos, ventajas,
desventajas y un formulario que muestra cuales son los aspectos tomados
en cuenta para un estudio de este tipo.)
- Esta auditoría se puede definir como la revisión que realiza un
profesional de la auditoria, cuya relación de trabajo es directa y
subordinada a la institución donde se aplicará la misma, con el
propósito de evaluar en forma interna el desempeño y cumplimiento
de las actividades que se desarrollan en la empresa y sus áreas
administrativas.
Auditoria reglamentaria (concepto, los objetivos q esta busca y un
formulario de aplicación.)
- La auditoría reglamentaria está orientada a la verificación del
cumplimiento de todos los aspectos legales que sean de aplicación y la
eficacia del sistema preventivo, por lo cual incluye todos los requisitos
sobre seguridad y salud de los trabajadores.
Auditoria de Centros de Procesamiento: Breve descripción de lo que es y
los aspectos que deben ser tomados en cuenta para aplicarla.
6
- Es la auditoria que se realiza a los centros de procesamientos
encargados de garantizar que los sistemas del ordenador salvaguardan
los bienes de la organización, manteniendo la integridad de los datos y
alcanzando los objetivos de la empresa de un modo eficaz y efectivo
Gestión de continuidad del negocio, diseño y evaluación de planes de
contingencia: concepto, características y objetivos.
- Es la actividad que se lleva a cabo en una organización para asegurar
que todos los procesos de negocio críticos estarán disponibles para los
clientes, proveedores, y otras entidades que deben acceder a ellos.
7
UNEG-AS
Objetivo General
Desarrollar un portal web que sirva de alojamiento y permita la
visualización de los contenidos multimedia generados en el curso de Auditoría y
Evaluación de Sistemas, sirviendo de referencia para la búsqueda de información
por parte de profesionales o personas con actividades afines a la cátedra.
Objetivos específicos
Definir el nombre, la estructura organizativa y pautas generales del
proyecto
Crear un plan de trabajo para monitorear el trabajo.
Analizar y escoger la plataforma de desarrollo web que mejor
satisfaga la necesidad con los recursos disponibles.
Establecer el formato y la diagramación de los temas para el sitio web.
Diseñar una interfaz sencilla y cómoda para la visualización del
contenido.
Preparar la ponencia del producto.
Presentar el producto en las VII Jornadas de Investigación
Institucional UNEG.
8
Objetivo General:
Elaborar un informe detallado sobre Auditorias de Rutinas y
Reglamentarias, Auditorias de Sistemas y Centros de procesamientos, Gestión de
continuidad del negocio, Diseño y evaluación de planes de contingencias.
Objetivo Especifico:
Realizar búsqueda de información.
Analizar la información.
Organizar y clasificar la información obtenida.
Elaborar el informe y video del mismo.
Presentación de informe y video.
9
AUDITORIA DE RUTINA
Esta auditoría se puede definir como la revisión que realiza un profesional
de la auditoria, cuya relación de trabajo es directa y subordinada a la institución
donde se aplicará la misma, con el propósito de evaluar en forma interna el
desempeño y cumplimiento de las actividades que se desarrollan en la empresa y
sus áreas administrativas.
Las auditorías de rutina, pueden proveer oportunidades a los auditores internos
de identificar debilidades de control importantes en procesos rutinarios que
pueden tener un alto impacto, para llevar a cabo esta auditoría la empresa elabora
un cronograma de acción para realizarlas a lo largo del tiempo e ir comparando si
se ha mejorado después de la última auditoría, de tal forma que se pueda
determinar cuáles son los avances que se han tenido y en que se continua fallando.
Características:
Las revisiones han de ser efectuadas por personas con conocimientos
técnicos adecuados y capacitación como auditores.
El auditor debe mantener una actitud mental independiente.
Tanto en la realización del examen como en la preparación del
informe debe mantener el debido rigor profesional.
El trabajo debe planificarse adecuadamente ejerciéndose la debida
supervisión por parte del auditor de mayor experiencia.
Debe obtenerse suficiente información (mediante inspección,
observación, investigación y confirmaciones) como fundamento del
trabajo.
10
Objetivos:
El objetivo principal es ayudar a la dirección en el cumplimiento de
sus funciones y responsabilidades, proporcionándoles análisis
objetivos, evaluaciones, recomendaciones y todo tipo de comentarios
pertinentes sobre las operaciones examinadas. Este objetivo se cumple
a través de otros más específicos como los siguientes:
Realizar investigaciones especiales solicitadas por la dirección.
Preparar informes de auditoría acerca de las irregularidades que
pudiesen encontrarse como resultado de investigaciones realizadas,
expresando igualmente las recomendaciones que se juzguen
adecuadas.
Vigilar el cumplimiento de las recomendaciones contenidas en los
informes emitidos con anterioridad.
Ventajas:
Puede ser más profunda ya que el auditor tiene mayor conocimiento
de las actividades, funciones y problemas de la empresa.
Facilita una ayuda primordial a la dirección al evaluar de forma
relativamente independiente los sistemas de organización y de
administración, dando esto un programa concreto de la misma en
apoyo a las autoridades de la empresa, lo cual ayudará a sus dirigentes
en la evaluación y la toma de decisiones.
Facilita una evaluación global y objetiva de los problemas de la
empresa, que generalmente suelen ser interpretados de una manera
parcial por los departamentos afectados.
Pone a disposición de la dirección un profundo conocimiento de las
operaciones empresariales, proporcionado por el trabajo de
verificación de los datos contables y financieros.
11
Es de gran utilidad para la buena marcha de la empresa, ya que
permite detectar problemas y desviaciones a tiempo.
Desventajas:
Su veracidad, alcance y confiabilidad pueden ser limitados.
En ocasiones la opinión del auditor tal vez no sea absoluta, al laborar
en la misma empresa, se pueden presentar presiones, compromisos y
ciertos intereses al realizar la evaluación.
Se pueden presentar vicios de trabajo del auditor, en las formas de
utilizar las técnicas y herramientas para aplicar la auditoría, en la
forma de evaluar y emitir su informe.
Formulario:
Separar lo necesario de lo innecesario
¿Hay cosas inútiles que pueden molestar en el entorno de trabajo?
¿Hay materias primas, semi elaborados o residuos en el entorno de trabajo?
¿Hay algún tipo de herramienta, tornillería, pieza de repuesto, útil o similar
en el entorno de trabajo?
¿Están todos los objetos de uso frecuente ordenado, en su ubicación y
correctamente identificado en el entorno laboral?
¿Están todos los objetos de medición en su ubicación y correctamente
identificados en el entorno laboral?
¿Están todos los elementos de limpieza: trapos, escobas, guantes, productos
en su ubicación y correctamente identificados?
¿Está todo el mobiliario: mesas, sillas, armarios ubicados e identificados
correctamente en el entorno de trabajo?
12
¿Existe maquinaria inutilizada en el entorno de trabajo?
¿Existen elementos inutilizados: pautas, herramientas, útiles o similares en el
entorno de trabajo?
¿Están los elementos innecesarios identificados como tal?
Un sitio para cada cosa y cada cosa en su sitio
¿Están claramente definidos los pasillos, áreas de almacenamiento, lugares
de trabajo?
¿Son necesarias todas las herramientas disponibles y fácilmente
identificables?
¿Están diferenciados e identificados los materiales o semielaborados del
producto final?
¿Están todos los materiales, palets, contenedores almacenados de forma
adecuada?
¿Hay algún tipo de obstáculo cerca del elemento de extinción de incendios
más cercano?
¿Tiene el suelo algún tipo de desperfecto: grietas, sobresalto?
¿Están las estanterías u otras áreas de almacenamiento en el lugar adecuado
y debidamente identificadas?
¿Tienen los estantes letreros identificatorios para conocer que materiales van
depositados en ellos?
¿Están indicados las cantidades máximas y mínimas admisibles y el formato
de almacenamiento?
¿Hay líneas blancas u otros marcadores para indicar claramente los pasillos
y áreas de
Almacenamiento?
¿Hay líneas blancas u otros marcadores para indicar claramente los pasillos
y áreas de
Almacenamiento?
13
Limpiar el puesto de trabajo y los equipos y prevenir la suciedad y el
desorden
¡Revise cuidadosamente el suelo, los pasos de acceso y los alrededores de los
equipos!
¿Puedes encontrar manchas de aceite, polvo o residuos?
¿Hay partes de las máquinas o equipos sucios? ¿Puedes encontrar manchas
de aceite, polvo o residuos?
¿Está la tubería tanto de aire como eléctrica sucia, deteriorada; en general
en mal estado?
¿Está el sistema de drenaje de los residuos de tinta o aceite obstruido (total
o parcialmente)?
¿Hay elementos de la luminaria defectuosa (total o parcialmente)?
¿Se mantienen las paredes, suelo y techo limpios, libres de residuos?
¿Se limpian las máquinas con frecuencia y se mantienen libres de grasa,
virutas?
¿Se realizan periódicamente tareas de limpieza conjuntamente con el
mantenimiento de la planta?
¿Existe una persona o equipo de personas responsable de supervisar las
operaciones de limpieza?
¿Se barre y limpia el suelo y los equipos normalmente sin ser dicho?
Eliminar anomalías evidentes con controles visuales
¿La ropa que usa el personal es inapropiada o está sucia?
¿Las diferentes áreas de trabajo tienen la luz suficiente y ventilación para la
actividad que se desarrolla?
¿Hay algún problema con respecto a ruido, vibraciones o de temperatura
(calor / frío)?
¿Hay alguna ventana o puerta rota?
14
¿Hay habilitadas zonas de descanso, comida y espacios habilitados para
fumar?
¿Se generan regularmente mejoras en las diferentes áreas de la empresa?
¿Se actúa generalmente sobre las ideas de mejora?
¿Existen procedimientos escritos estándar y se utilizan activamente?
¿Se consideran futuras normas como plan de mejora clara de la zona?
¿Se mantienen las 3 primeras S (eliminar innecesario, espacios definidos,
limitación de pasillos, limpieza?
Hacer el hábito de la obediencia a las reglas
¿Se realiza el control diario de limpieza?
¿Se realizan los informes diarios correctamente y a su debido tiempo?
¿Se utiliza el uniforme reglamentario así como el material de protección
diario para las actividades que se llevan a cabo?
¿Se utiliza el material de protección para realizar trabajos específicos (arnés,
casco)?
¿Cumplen los miembros de la comisión de seguimiento el cumplimiento de
los horarios de las reuniones?
¿Está todo el personal capacitado y motivado para llevar a cabo los
procedimientos estándar definidos?
¿Las herramientas y las piezas se almacenan correctamente?
¿Se están cumpliendo los controles de stocks?
¿Existen procedimientos de mejora, son revisados con regularidad?
¿Todas las actividades definidas en las 5S se llevan a cabo y se realizan los
seguimientos definidos?
15
AUDITORIA REGLAMENTARIA
La auditoría reglamentaria está orientada a la verificación del cumplimiento
de todos los aspectos legales que sean de aplicación y la eficacia del sistema
preventivo, por lo cual incluye todos los requisitos sobre seguridad y salud de los
trabajadores, legalmente establecidos y que sean de aplicación, así como aquellas
actividades preventivas específicas que, no estando reguladas por la legislación
vigente, sean necesarias para cubrir suficientemente los riesgos existentes. Para
ello se establece un plan para realizar las distintas visitas, la primera auditoria
deberá realizarse a un periodo establecido después del inicio de la actividad de la
Empresa y según sea el tipo se pautan periodos más o menos extensos para las
posteriores visitas. Su finalidad no es otra que ayudar al empresario a mejorar su
Sistema de prevención de riesgos laborales. El resultado de la auditoria, siempre
que el empresario se comprometa a corregir las desviaciones en un tiempo
razonable, no es sancionable en ningún caso. Con esta auditoría la empresa
encontrará una valiosa ayuda para asegurar que su Sistema de prevención cumple
con la legislación vigente.
La auditoría reglamentaria busca establecer la eficacia del sistema
preventivo establecido, lo cual requiere en algunos casos la verificación de la
existencia de sistemas no reglamentados de control de los riesgos, cuya existencia
y aplicación supone una mayor eficacia preventiva. Con las conclusiones
obtenidas durante el desarrollo de la auditoría, se elabora el Informe de auditoría,
exponiendo el alcance de la misma y proporcionando a la empresa información
sobre la eficacia del Sistema de Gestión de Prevención que tiene implantado,
conforme a los requisitos especificados en la normativa legal vigente. Una vez
finalizada la auditoria se entregará un Certificado Acreditativo de haber sometido
su Sistema de Gestión de Prevención de Riesgos Laborales al control de la
Auditoría Reglamentaria
16
Objetivos
Comprobar cómo se ha realizado la evaluación inicial y periódica de
riesgos.
Comprobar que el tipo y planificación de las actividades preventivas
se ajusta a lo dispuesto a la normativa general así como a la normativa
sobre riesgos específicos que sea de aplicación.
Analizar la adecuación entre los procedimientos y medios requeridos
para realizar las actividades preventivas mencionadas en el párrafo
anterior y los recursos que dispone el empresario, propios o
concertados.
En función de todo ello, valorar la integración de la prevención en el
sistema general de gestión de la empresa, tanto en el conjunto de sus
actividades como en todos los niveles jerárquicos de la misma.
Formulario para Auditoria Reglamentaria
1. Política Preventiva
2. Planificación de la Prevención
2.1 Evaluación de riesgos
2.2 Objetivos y Plan de Prevención
2.3 Objetivos y Planificación de la actividad preventiva
3. Organización Preventiva
3.1 Funciones y Responsabilidades
3.2 Servicio de Prevención
4. Consulta y Participación
5. Información y formación a los trabajadores
6. Control Operativo de los Riesgos
6.1 Inspecciones de seguridad. Observaciones de trabajo
6.2 . Normas de Seguridad
6.3 Permisos de Trabajo
17
6.4 Revisión de Equipos e Instalaciones. Equipos de Trabajo.
6.5 Productos Químicos.
6.6 Equipos de Protección Individual.
6.7 Señalización.
6.8 Coordinación de Actividades Empresariales.
6.9 Seguridad en Obras de Construcción. Seguridad en Cambios
6.10 Presencia de Recursos Preventivos.
6.11 Empresas Usuarias de Trabajo Temporal
7. Preparación frente a Emergencias
8. Control Periódico de los factores ambientales.
9. Vigilancia de la Salud.
10. Investigación de accidentes e incidentes, registros y Comunicación.
11. Documentación, Información y Comunicación Externa.
Informe de Auditoría
Al final de la auditoría se emite un informe en el que se detalla en cada
instalación cuál es la reglamentación que debe cumplir y si está al día en el
cumplimiento de dicha reglamentación. Además se aporta un plan de
inspecciones, de modo que la empresa pueda tener en un documento resumido
todas las inspecciones a realizar para cumplir con la reglamentación. Realizar la
auditoría le permite obtener los siguientes beneficios:
Cumplimiento de la legislación.
Comprobar el estado de las instalaciones.
Detección de posibles daños de la instalación.
Detección de potenciales daños a instalaciones y personas.
Cumplimiento de las exigencias de diferentes normas
18
AUDITORIA DE SISTEMAS
La auditoría de sistemas es la parte de la auditoría interna que se encarga de
llevar a cabo las normas, controles, técnicas, y procedimientos que se tienen
establecidos en una empresa para lograr la confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de computadores; es
decir, en estas evaluaciones se está involucrando tanto los elementos técnicos
como humanos que intervienen en el proceso de la información.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a
la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de
tecnología informática con el fin de lograr mayor eficiencia operacional y
administrativa.
Es importante realizar esta auditoría de sistemas porque a la par que la
tecnología avanza, las empresas deben evolucionar y es allí donde los controles
aplicados deben ser evaluados, para que sean consonantes con todos los cambios
efectuados, además los sistemas de información apoyados en computadoras son
susceptibles de irregularidades como fraudes, manejos indebidos, errores
omisiones, etc., lo que obligue a ejercer un control estricto en sus operaciones.
La limitada concepción que se tiene sobre el alcance de la seguridad de los
sistemas de información computarizados, que recae más que todo en las
seguridades físicas, hace indispensable aumentar su radio de acción y control,
paralelamente el crecimiento de las empresas y la fuerte competencia a la que
están sometidas, conduce a un incremento de sus actividades cotidianas, lo que
obliga a planear y controlar sus desarrollos para que sean más competitivas.
19
Objetivos
Participación en el desarrollo de nuevos sistemas:
Evaluación de controles
Cumplimiento de la metodología.
Evaluación de la seguridad en el área informática.
Evaluación de suficiencia en los planes de contingencia.
Respaldos, prever qué va a pasar si se presentan fallas.
Opinión de la utilización de los recursos informáticos.
Resguardo y protección de activos.
Control de modificación a las aplicaciones existentes.
Fraudes.
Control a las modificaciones de los Programas.
Participación en la negociación de contratos con los Proveedores.
Revisión de la utilización del sistema operativo y los programas.
Utilitarios.
Control sobre la utilización de los Sistemas Operativos.
Programas Utilitarios.
Auditoría de la base de datos.
Estructura sobre la cual se Desarrollan las Aplicaciones.
Auditoría de la Red de Teleprocesos.
Desarrollo de Software de Auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada,
desarrollar software capaz de estar ejerciendo un control continuo de las
operaciones del área de procesamiento de datos.
20
Cuestionario Para El Control De Proyectos De Sistemas
1. ¿Existe una lista de proyectos de sistema de procedimiento de
información y fechas programadas de implantación que puedan ser
considerados como plan maestro?
2. ¿Está relacionado el plan maestro con un plan general de desarrollo de la
dependencia?
3. ¿Ofrece el plan maestro la atención de solicitudes urgentes de los usuarios?
4. ¿Asigna el plan maestro un porcentaje del tiempo total de producción al
reproceso o fallas de equipo?
5. Escribir la lista de proyectos a corto plazo y largo plazo.
6. Escribir una lista de sistemas en proceso periodicidad y usuarios.
7. ¿Quién autoriza los proyectos?
8. ¿Cómo se asignan los recursos?
9. ¿Cómo se estiman los tiempos de duración?
10. ¿Quién interviene en la planeación de los proyectos?
11. ¿Cómo se calcula el presupuesto del proyecto?
12. ¿Qué técnicas se usan en el control de los proyectos?
13. ¿Quién asigna las prioridades?
14. ¿Cómo se asignan las prioridades?
15. ¿Cómo se controla el avance del proyecto?
16. ¿Con qué periodicidad se revisa el reporte de avance del proyecto?
17. ¿Cómo se estima el rendimiento del personal?
18. ¿Con que frecuencia se estiman los costos del proyecto para compararlo
con lo presupuestado?
19. ¿Qué acciones correctivas se toman en caso de desviaciones?
20. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?
21. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si
aún cumplen con los objetivos para los cuales fueron diseñados?
De análisis S� ( ) NO ( )
De programación S� ( ) NO ( )
21
Observaciones
22. Incluir el plazo estimado de acuerdo con los proyectos que se tienen en
que el departamento de informática podría satisfacer las necesidades de la
dependencia, según la situación actual.
AUDITORIA DE CENTROS DE PROCESAMIENTOS
Es la auditoria que se realiza a los centros de procesamientos encargados de
garantizar que los sistemas del ordenador salvaguardan los bienes de la
organización, manteniendo la integridad de los datos y alcanzando los objetivos
de la empresa de un modo eficaz y efectivo; teniendo en cuenta algunas
consideraciones especiales, dado que en ellos se concentran datos y aplicaciones
informáticas en espacios muy reducidos, lo que los hace excepcionalmente
propensos a problemas potenciales, tanto lógicos como físicos, que pueden afectar
a su seguridad y funcionamiento. Para revisar los controles en las operaciones de
centros de procesamiento de información se deben tener en cuenta los siguientes
aspectos:
1.-Revisión de controles en el equipo:
Se hace para verificar si existen formas adecuadas de detectar errores de
procesamiento, prevenir accesos no autorizados y mantener un registro detallado
de todas las actividades del computador que debe ser analizado periódicamente.
2.- Revisión de programas de operación:
Se verifica que el cronograma de actividades para procesar la información
asegure la utilización efectiva del computador.
22
3.- Revisión de controles ambientales:
Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si
se cuenta con deshumidificadores, aire acondicionado, fuentes de energía
continua, extintores de incendios, etc.
4.-Revisión del plan de mantenimiento:
Aquí se verifica que todos los equipos principales tengan un adecuado
mantenimiento que garantice su funcionamiento continuo.
5.- Revisión del sistema de administración de archivos:
Se hace para verificar que existan formas adecuadas de organizar los
archivos en el computador, que estén respaldados, así como asegurar que el uso
que le dan es el autorizado
.
6.- Revisión del plan de contingencias:
Aquí se verifica si es adecuado el plan de recuperación en caso de
desastres.
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Es la actividad que se lleva a cabo en una organización para asegurar que
todos los procesos de negocio críticos estarán disponibles para los clientes,
proveedores, y otras entidades que deben acceder a ellos. Estas actividades
incluyen un gran número de tareas diarias como gestión de proyectos, copias de
seguridad de los sistemas, control de cambios y helpdesk. La gestión de la
continuidad no se implanta cuando ocurre un desastre, si no que hace referencia a
todas aquellas actividades que se llevan a cabo diariamente para mantener el
servicio y facilitar la recuperación. La base de la gestión de la continuidad son las
políticas, guías, estándar y procedimientos implementados por una organización.
Todo el diseño, implementación, soporte y mantenimiento de los sistemas debe
23
estar fundamentado en la obtención de un buen plan de continuidad del negocio,
recuperación de desastres y en algunos casos, soporte al sistema. En ocasiones la
gestión de la continuidad se confunde con la gestión de la recuperación tras un
desastre, pero son conceptos diferentes. La recuperación de desastres es una
pequeña parte de la gestión de la continuidad.
El término continuidad del negocio describe una filosofía o metodología de
desarrollar la actividad del negocio, mientras que la planificación de la
continuidad de negocio es la actividad que determina cual debe ser esta
metodología. El plan de continuidad del negocio puede ser visto como la
metodología utilizada por los usuarios de la organización diariamente para
asegurar el desarrollo normal del negocio. Los componentes necesarios en el plan
de continuidad necesarios para disponer de un plan documentado incluye:
Políticas: son una serie de normas impuestas por las esferas directivas de la
organización que soportan todos los procesos de negocio y que se desarrollan
siguiendo un plan determinado.
Guías: son una serie de conceptos de los que se recomienda su seguimiento
según el plan designado. De todas formas, dependiendo de las necesidades y
requisitos de negocio, estas guías pueden ser ignoradas o alteradas durante la
implementación.
Estándares: consisten en las especificaciones técnicas realizadas para la
implementación de todos los procesos de negocio. Son un derivado de las
políticas y las guías.
Procedimientos: El estándar británico 25999-1 ofrece especificaciones para
la implementación de un sistema de gestión de la continuidad en una
organización. Esta tarea puede resultar compleja en grandes organizaciones, que
contratan expertos y consultores que ofrecen soporte y formación al respecto.
24
Planificación y Despliegue: El concepto de gestión de la continuidad
implica que los recursos subyacentes se encuentran implementados y desplegados
de un modo determinado, que permite ser restructurado fácilmente dependiendo
de las necesidades de la organización. Este nivel de flexibilidad requiere que todas
las funciones de negocio sean planeadas e implementadas, desde el principio, con
la mentalidad de disponer de un plan de continuidad del negocio
Estructura Organizativa: Parte del trabajo de la gestión de la continuidad
es asegurar que todo el personal de la organización comprenda qué procesos del
negocio son los más importantes para la organización.
Este entendimiento debe quedar de manifiesto en la formación del personal, de
forma que los empleados puedan asegurar la continuidad del negocio incluso
cuando hay una entrada y salida de personal constante. Es importante también
contar con diferentes individuos con el mismo conocimiento, sobre todo en
momentos críticos cuando la persona con el conocimiento experto no se encuentra
disponible
Análisis de Impacto en el Negocio: El concepto completo de gestión de la
continuidad está basado en los procesos de negocio de una organización, y la
asignación de un nivel de importancia a cada proceso. Un análisis de impacto en
el negocio es la herramienta principal que permite recopilar esta información para
así asignar una criticidad, objetivos de recuperación y tiempo de recuperación a
cada uno de ellos.
Puede ser utilizado para identificar la importancia del impacto en los
diferentes niveles de una organización. Por ejemplo, se puede examinar el efecto
de una interrupción en las actividades estrategias operacionales, funcionales o
estratégicas de una organización. No solo en las actividades actuales, el efecto de
interrupciones por la introducción de grandes cambios, como la creación de un
nuevo producto o servicio, también puede ser calculado por el análisis de impacto
de negocio.
25
Las mejores prácticas indican que un análisis de impacto de negocio debe
ser revisado como mínimo anualmente, pero esta revisión puede ser más frecuente
en el caso de:
Un gran cambio en el ritmo de negocio
Cambios significativos en los procesos internos de negocio,
localización o tecnología
Cambios significativos en el entorno externo de negocio, como los
mercados o cambios en la regulación legal.
Gestión de la Seguridad: En el entorno empresarial, la seguridad debe ser
la prioridad principal en la gestión de las tecnologías de la información. Para la
mayoría de organizaciones la seguridad está regida por la legislación y el
cumplimiento de estas normas está controlado por auditorías.
El no cumplimiento de estas normas tiene un impacto económico y
organizativo en la entidad.
Gestión Documental: En el entorno de tecnologías de la información la
rotación de personal es inevitable y forma parte de la gestión de la continuidad. La
solución a los problemas relacionados con la rotación de personal es la creación
de documentación completa y actualizada. Esto asegura que el personal entrante
dispone de la información necesaria sobre sus funciones y tareas.
Esto implica que los procesos relacionados con la documentación es
generada (no escrita) desde los sistemas existentes y gestionada de forma
automática.
Gestión del Cambio: Las regulaciones determinan que los cambios
relacionados con los procesos de negocio deben ser documentados y clasificados
para futuras auditorias, esto se denomina “control de cambios”. Un nuevo nivel de
estabilidad entra en la organización ya que requiere que el personal de soporte
documente y coordine todos los cambios en los sistemas. A medida que este
26
proceso se automatiza, el énfasis pasará del control de personal al cumplimiento
de la normativa.
Gestión de auditorías: Uno de los aspectos que requieren más tiempo y
recursos en la gestión de tecnologías de la información son las auditorías. Uno de
los objetivos de la gestión de la continuidad es la automatización del data center,
que incluye la gestión de las auditorías. Todos los procesos de negocio modernos
deberían ser diseñados de forma que generen automáticamente la información y
documentación necesaria para las auditorías como parte del día a día de la
organización. Esto reduce drásticamente el tiempo y coste asociado con la
producción manual de este tipo de información.
Acuerdos a nivel de Servicio: El punto de encuentro entre la gestión y las
tecnologías de la información son los Acuerdos de Nivel de Servicio. Dichos
acuerdos proporcionan un contrato escrito donde se estipula el alcance de la
gestión con respecto a la disponibilidad de un determinado proceso de negocio y
los recursos que las tecnologías de la información ofrecen como soporte a ese
proceso.
Planificación: La planificación, prevención y preparación son el punto
clave de cualquier sistema de gestión de la continuidad. Esto empieza con las
identificaciones de los riesgos potenciales y amenazas al negocio, tanto internas
como externas.
PLANES DE CONTINGENCIA
Es un documento que prevé las actividades, debidamente cronogramadas,
que suplen, en caso de falla, mal funcionamiento o emergencia, los
procedimientos de trabajo de un proceso institucional regular.
27
El objetivo de un plan de contingencia es asegurar la continuidad de los
procesos institucionales, productivos entre otros, a pesar de los problemas que
puedan presentarse en cualquier circunstancia.
Los planes de contingencia se organizan para que las instituciones y
empresas puedan prevenir fallas o accidentes en sus operaciones diarias y les
permitan seguir activas, en la provisión de servicios o productos, en el caso de que
algún componente sufra algún tipo de problema, que condicione el correcto
funcionamiento de sus equipos tecnológicos, aplicaciones informáticas y otros
sistemas críticos.
Características Principales
Entre las principales características se tienen:
Amplio, porque considera a todos los componentes de los procesos
institucionales de una organización.
Abierto en el tiempo, para dar respuesta permanente a cualquier tipo
de incidencias.
Participativo, porque se pretende que intervengan todos los agentes,
instituciones y agrupaciones que estén implicados, de una u otra
forma, en el servicio.
Eminentemente práctico, ya que fija objetivos concretos y establece
los medios y los plazos.
La vigencia del Plan será hasta que los procesos a los que suple, estén
nuevamente en operación.
Un plan de contingencia puede determinarse a muchos ámbitos de la
organización pero típicamente se suele centrar en los sistemas de
información.
28
En esta área el plan de contingencia forma parte de un documento más
amplio donde se tiene en cuenta los planes de mantenimiento, políticas de
backups, inventarios, planes de formación, etc.
Inventario de Sistemas
Disponer de forma actualizada la situación de la infraestructura de equipos y
sistemas, así como aplicaciones instaladas. Es importante para conocer cual era la
situación de cada equipo.
Plan de Mantenimiento
Tanto Preventivo como Correctivo. Se trata por un lado de garantizar el
correcto funcionamiento de los sistemas, estableciendo un calendario periódico de
actuación y por otro lado, el correctivo, en el que se dispone de una guía con los
fallos y las acciones a realizar para la pronta disposición del sistema.
Política de Backups
La política de backups forma parte de la necesidad del dato. Los sistemas
podrán ser renovados comprando nuevo material o realizando nuevas
instalaciones de software base pero el dato no es recuperable. El conocimiento no
es recuperable si se destruye. Por ello una buena política de copias de seguridad
garantiza la tranquilidad de la organización.
Plan de Recuperación ante Desastres o de Contingencia
Aunque el nombre puede variar en función de la severidad en definitiva se
trata de recoger las acciones para que en caso de gravedad máxima sea posible la
recuperación del funcionamiento.
29
En cualquier caso y dado que la realización de un plan puede ser tan amplio
como la propia organización, es necesario simplificar y focalizar en los puntos
más importantes tales como:
Inventario de Sistemas
Análisis de los riesgos y su clasificación según criticidad
Elaboración del Sistema de Contingencia,
Asignación de responsabilidades
Calendario de implantaciones y puesta en marcha
Plan de pruebas y simulaciones
Inventario de Sistemas
Recoger todo el equipamiento hardware, comunicaciones, arquitectura,
software, etc. y su clasificación según áreas o funcionalidad realizada. Muy
importante también será la relación existente entre los diferentes equipos, cuales
son las dependencias entre ellos y otros sistemas. Un ejemplo, es el acceso a
Internet. Por mucho que exista un hardware de reemplazo, la conexión a Internet
no funcionará si no disponemos de una alternativa a las comunicaciones.
Análisis de Riesgos y Clasificación
En este apartado se identificarán los riesgos y además se realizará la
clasificación de las mismas. Es importante destacar que será necesario elegir un
criterio de selección ya sea por salvaguarda de la confidencialidad o integridad o
disponibilidad.
Después se determinará la frecuencia con que puede ocurrir. Cada cuanto se
da el problema. Toda esta información se analizará decidiendo la clasificación de
los riesgos según su trascendencia en la organización.
30
Elaboración del Plan de Contingencia
En este apartado se realizará el citado plan recogiendo las posibles
alternativas para solucionar el problema. Se podría contemplar alternativas tan
validas como replicación de centros de proceso de datos en otros edificios,
alquiler de CPD, Housing, etc. Se tendrán en cuenta el costo y complejidad
técnica como elementos decidores.
También se recogerán las políticas de backups y mantenimientos como parte
del informe y determinados según la alternativa seleccionada. El plan también
debe recoger las actuaciones necesarias para la puesta en marcha del sistema
alternativo, estableciendo el procedimiento de actuación a seguir para cada tipo de
incidencia y cada sistema. Muy importante indicar la secuencia y responsable de
actuación de cada secuencia. Todo el mundo debe conocer perfectamente cual es
la acción que debe realizar.
Asignación de Responsabilidades
En definitiva delimitar y conocer las personas implicadas y sus
responsabilidades en el plan de actuación. Así como suministradores de
equipamiento y servicios que puedan aunar conjuntamente esfuerzos. En este
caso, disponer de contratos de mantenimiento adecuados con terceras empresas
especializadas en Seguridad podría significar una gran diferencia del éxito de la
contingencia.
También se determina como fundamental el Equipo de Crísis con capacidad
de decisión y responsabilidad que pueda ser capaz de asumir y redirigir los
problemas que se puedan dar durante la crisis.
31
Calendario de Implantación
Conocer cuál es el programa en el tiempo y poder valorar adecuadamente el
momento en que se encuentre la puesta en marcha del plan
Plan de Pruebas y Simulaciones
Por último, indicar que un buen plan de contingencia conlleva la realización
periódica de pruebas y simulaciones de crisis. Sólo conociendo de antemano que
problemas podrían aparecer ante un desastre, el plan de contingencia podrá ser
perfeccionado o sustituido y así asegurar el éxito del mismo.
32
1. Que estrategias de búsqueda de información aplicamos.
Definiéndose como estrategia de búsqueda de información como el
conjunto de procedimientos y operaciones que un usuario realiza con el
fin de obtener la información necesaria para resolver un problema.
Las estrategias de búsqueda de información las cuales utilizamos fueron
las siguientes:
Puntos de accesos: Un punto de acceso es el campo del registro
bibliográfico por el cual es posible recuperar información. Los puntos de
acceso pueden variar en función del tipo de documento y la base de
datos.
Los relacionados con la descripción semántica del documento (tema,
palabras clave dentro del resumen o el texto completo).
El punto de acceso fue: Autor o título del artículo, título de la revista,
editor, Título, editor o coordinador de la obra completa
Los documentos consultados fueron: Artículo académico, y Capítulo de
un libro o parte de una obra colectiva.
2. Cuál fue el proceso de diseño seguido.
1. BUSQUEDA Y RECUPERACIÓN DE LA INFORMACIÓN
Reconocer la necesidad de
Información
Definir el problema que hay que
resolver.
Determinar qué información se
necesita.
Identificar las características de
esta información: cobertura
geográfica y cronológica, nivel,
extensión y formato.
33
Diseñar un plan de trabajo para
abordar la tarea
Localizar y recuperar
Información
Planificar el trabajo de búsqueda.
Diseñar estrategias de búsqueda.
Conocer la herramienta de búsqueda
específica de cada tipo de recurso
informativo.
Utilizar sistemas avanzados de
recuperación de información.
2. ANALISIS Y TRATAMINENTO DE LA INFORMACIÓN
Explorar, organizar y
registrar los contenidos
seleccionados
Explorar la información
seleccionada.
o Comprender, analizar y
interpretar con
profundidad la
información.
o Segmentar y establecer
relaciones jerárquicas y
asociativas.
o Sistematizar y sintetizar la
información relevante.
Organizar el registro de la
información seleccionada.
o Extraer y registrar la
información relevante.
o Ordenar y clasificar la
información seleccionada.
o Almacenar la información
recuperada con métodos
específicos.
o Representar los
contenidos de forma
sintética con esquemas y
resúmenes
Transformar la información
en conocimiento persona
Incorporar la nueva información a la
propia base de conocimientos.
Integrar información de fuentes
diversas.
Hacer inferencias.
Construir significados.
Establecer conexiones con
conocimientos previos.
Formular conclusiones.
Elaborar nueva información.
34
3. Herramientas utilizadas.
- Internet (motores de búsquedas).
- books google.
4. Cuál fue el proceso de toma de decisión de la herramienta a usada
35
Planificación
36
CONCLUSIONES
En toda empresa, es importante que se realicen auditorias, ya que a través de
la misma se define con bastante razonabilidad, la situación real de la empresa, ya
evalúa el grado de eficiencia y eficacia con que se desarrollan las tareas
administrativas y el grado de cumplimiento de los planes y orientaciones de la
gerencia. Por ejemplo, los estados financieros en su conjunto o una parte de ellos,
el correcto uso de los recursos humanos, el uso de los materiales y equipos y su
distribución, etc. Contribuyendo con la gerencia para una adecuada toma de
decisiones.
Cabe destacar que existen diferentes tipos de auditorías, donde cada una
tiene objetivos específicos que desean evaluar, y así poder determinar la situación
actual de la empresa de manera específica. Entre los tipos de auditoria se
encuentra la auditorias de rutina, la cual pueden proveer oportunidades a los
auditores internos de identificar debilidades de control importantes en procesos
rutinarios que pueden tener un alto impacto, para llevar a cabo esta auditoría la
empresa elabora un cronograma de acción para realizarlas a lo largo del tiempo e
ir comparando si se ha mejorado después de la última auditoría, de tal forma que
se pueda determinar cuáles son los avances que se han tenido y en que se continua
fallando. Es por ello que toda empresa es imprescindible garantizar que las tareas
se están realizando como debe ser, esto es lo que garantizara a la empresa poder
llevar el control sobre el cumplimiento de sus actividades, por tal razón se realiza
la auditoria de rutina entendida como la actividad interna que se realiza con el fin
único de estar al tanto del estado operativo de la empresa y tomar en caso de ser
necesario correctivos.
Además tenemos el tipo de auditoria reglamentaria buscando con estas que
las instituciones operen bajo un grado aceptable que no afecte la integridad de su
personal, del entorno y de la sociedad. Y como no escapa de las características de
la empresa tener control sobre su información y los medios para administrarla se
37
puede caer en vicios, despilfarro y demás aspectos que repercuten en forma
negativa en el logro de los objetivos, busca establecer la eficacia del sistema
preventivo establecido, lo cual requiere en algunos casos la verificación de la
existencia de sistemas no reglamentados de control de los riesgos, cuya existencia
y aplicación supone una mayor eficacia preventiva.
En base a esto se creó la auditoria de sistemas, es la parte de la auditoría
interna que se encarga de llevar a cabo las normas, controles, técnicas, y
procedimientos que se tienen establecidos en una empresa para lograr la
confiabilidad, oportunidad, seguridad y confidencialidad de la información que se
procesa a través de computadores; es decir, en estas evaluaciones se está
involucrando tanto los elementos técnicos como humanos que intervienen en el
proceso de la información.
38
REFERENCIAS BIBLIOGRAFICAS
Auditoria de sistemas y prevención riesgos laborales – AUDELCO 2º Edición
Auditoria de sistemas computacionales - Pearson
http://www.adpreven.com/auditoria-reglamentaria-legal.html
http://vbarreto.ve.tripod.com/keys/audi/audi03.pdf