Recuperación ante desastres y revisión de continuidad del negocio

La recuperación ante desastres y la continuidad del negocio se refieren a la capacidad de una organización de reponerse de un desastre y/o acontecimiento inesperado y reanudar o seguir operaciones. Las organizaciones deberían tener un plan en el lugar (por lo general referido como un "Plan de recuperación ante desastres", o "Plan de Continuidad del negocio") que perfila cómo esto se llevará a cabo. La llave a la recuperación ante desastres acertada debe tener un plan (plan de emergencia, plan de recuperación ante desastres, plan de continuidad) bien antes de que el desastre alguna vez golpee.

Un poco de la métrica clave para medirse en un ambiente de recuperación ante desastres es Recovery Time Objective (RTO) y Recovery Point Objective (RPO). RTO es un métrico que mide el tiempo que toma para un sistema para ser completamente y corriendo en caso de un desastre. RPO mide la capacidad de recuperar archivos especificando que un punto a tiempo restaura de la copia de seguridad.

Conduciendo una auditoría de un plan de recuperación ante desastres varios factores se deberían considerar. Éstos se describen abajo.

Plan de recuperación ante desastres escrito con actualización continua

Para ser eficaz el plan se debe escribir, debe ser comprensible, y debe ser accesible a aquellos que lo necesitan cuando lo necesitan. A causa de los cambios constantes que ocurren en el ambiente comercial moderno, un plan se debería actualizar con frecuencia para tratar con amenazas nuevas y existentes como se desarrollan. El auditor tiene que determinar si los procedimientos declarados en el plan de conseguir estos finales realmente se usan en la práctica.

Esto se puede llevar a cabo a través de:

En otras palabras, esto tiene que ser una vida y respiración del programa, tan para hablar, que se revisa y se actualiza en una base regular ya que los cambios se identifican que podría afectar el personal y o área que se ha devastado.

Sitio caliente designado o sitio frío

Un sitio caliente/frío es una posición a la cual una organización se puede mover después de un desastre si la instalación corriente es inservible. La diferencia entre los dos es que un sitio caliente totalmente se equipa para reanudar operaciones mientras un sitio frío no tiene esa capacidad. También hay lo que se menciona como un sitio caliente que tiene la capacidad de reanudar a unos, pero no todas las operaciones. La decisión que una compañía hace determinando que tipo de sitio para establecer depende de un análisis de costo-beneficio y las necesidades de la organización individual. El plan también debería explicar detalladamente cómo el traslado a una nueva instalación se debe conducir. Una compañía debería tener pruebas ocasionales y juicios de conducta para verificar la viabilidad y la eficacia del plan y determinar si alguna carencia existe y cómo se pueden tratar con. Una auditoría de una compañía el Plan de recuperación ante desastres debería examinar principalmente la probabilidad que las operaciones de la organización se pueden sostener al nivel que se asume en el plan, así como la capacidad de la entidad de establecer realmente operaciones en el sitio.

El auditor debería:

Capacidad de recuperar datos y sistemas

El sostenimiento continuo de datos y sistemas puede ayudar a minimizar el impacto de amenazas. Aún así, el plan también debería incluir la información sobre cómo mejor recuperar cualesquiera datos que no se hayan copiado. Los mandos y las protecciones deberían estar en el lugar para asegurar que los datos no se dañen, se cambien o se destruyan durante este proceso. Los expertos de la tecnología de la información y los procedimientos se tienen que identificar que puede llevar a cabo este esfuerzo. Los manuales del vendedor también pueden asistir en la determinación cómo mejor seguir.

Procesos para reserva frecuente de sistemas y datos

El auditor debería determinar si estos procesos son eficaces y realmente están siendo puestos en práctica por el personal. Esto se puede llevar a cabo a través de:

Pruebas y taladradoras de procedimientos del desastre

Las taladradoras de práctica se deberían conducir periódicamente para determinar qué eficaz el plan es y determinar que cambios pueden ser necesarios. La preocupación primaria del auditor aquí verifica que estas taladradoras se están conduciendo correctamente y que los problemas destapados durante estas taladradoras se dirigen y los procedimientos se diseñan para tratar con estas carencias potenciales se ponen en práctica y se prueban para determinar su eficacia.

Los datos y las reservas del sistema almacenaron offsite

El auditor puede verificar esto a través de documentación de papel y sin papel y observación física actual. Las pruebas de las reservas y procedimientos se deberían hacer para confirmar integridad de datos y procesos eficaces. La seguridad del sitio de almacenaje también se tiene que confirmar.

Comité de recuperación ante desastres designado y presidente

La entidad tiene que designar a individuos responsables de diseñar y poner en práctica el plan cuando necesario. Generalmente, esto consiste en un equipo encabezado por un director de proyecto, con un diputado del gerente que tiene la capacidad de asumir las responsabilidades de ser necesario. Las calidades necesarias para esta posición variar según la organización.

Las calidades del director de proyecto generalmente incluyen:

Otros miembros del equipo tienen que tener un entendimiento claro y capacidad de realizar los procedimientos necesarios. Un auditor tiene que examinar y tasar el proyecto y diputado de formación del director de proyecto, experiencia y capacidades así como analizar las capacidades de los miembros del equipo de completar tareas asignadas y que más de un individuo se entrena y capaz de hacer una función particular. Las pruebas y las preguntas del personal pueden ayudar a conseguir este objetivo.

Números de teléfono de emergencia visiblemente puestos en una lista

El auditor puede verificar a través de la observación directa que los números de teléfono de emergencia se ponen en una lista y fácilmente accesibles en caso de un desastre.

Seguro

El auditor debería determinar la suficiencia de la cobertura de seguros de la compañía (en particular propiedad y seguro de accidentes) a través de una revisión de las pólizas de seguros de la compañía y otra investigación. Entre los artículos que el auditor tiene que verificar son: el alcance de la política (incluso cualquier exclusión indicada), que la cantidad de cobertura es suficiente para cubrir las necesidades de la organización, y que la política es corriente y vigente. El auditor también debería averiguar, a través de una revisión de las posiciones asignadas por agencias de posición independientes, que la compañía de seguros o las compañías que proporcionan la cobertura tienen la viabilidad financiera para cubrir las pérdidas en caso de un desastre.

Procedimientos que permiten comunicación eficaz

La dirección y el equipo de recuperación deberían tener Procedimientos de Recuperación ante desastres que tienen la comunicación eficaz en cuenta. Esto puede ser llevado a cabo por la información de contacto de asegurar es fácilmente accesible y las taladradoras condujeron capacidades de comunicación de prueba. Los procedimientos deberían incluir metodologías no tecnológicas así como tecnológicas en caso de fracasos del sistema o poder. Las comunicaciones entre la organización e individuos exteriores y organizaciones también se tienen que considerar diseñando el plan. Los procedimientos para probar esta capacidad de comunicación generalmente reflejan a aquellos de la propia organización. El auditor debería evaluar estos procedimientos y asunciones para determinar si son razonables y probables de ser eficaces.

Una evaluación del auditor se puede llevar a cabo a través de:

Sistema actualizado y confirmación de la documentación de operación

Los archivos adecuados tienen que ser retenidos por la organización. El auditor debería examinar físicamente archivos, billings, y contratos para verificar esto. Fuera de la investigación como ponerse en contacto con vendedores también se puede conducir para determinar el razonable de las aseveraciones de la dirección.

Procedimientos de emergencia

Los procedimientos de la media de la comida y agua, capacidades de administrar la Reanimación Cardiopulmonar/primera auxilios y tratar con emergencias de la familia se deberían claramente escribir y probarse. Esto puede ser generalmente llevado a cabo por la compañía a través de programas de capacitación buenos y una definición clara de responsabilidades de trabajo.

El auditor puede verificar que esto se lleva a cabo a través de:

Reserva de posiciones de personal clave

Las políticas claramente escritas y la comunicación específica con empleados deberían ser usadas para justificar esto. También debe haber confirmación que las reservas del personal realmente pueden hacer los deberes asignados a ellos en un acontecimiento de una emergencia. La formación periódica también puede ayudar a aliviar esto. Esta formación debería incluir actualizaciones de posiciones de trabajo existentes y probando para confirmar la habilidad.

El auditor tiene que verificar que:

Hardware y lista del vendedor del software

Las copias de esto se deberían periódicamente actualizar y almacenadas en y del sitio, así como ser accesible por aquellos que los requieren. Un auditor debería probar los procedimientos usados para encontrar este objetivo y determinar su eficacia.

Declaración de la misión

Esto debería identificar claramente cuales el objetivo y los objetivos del Plan de recuperación ante desastres son. La declaración de la misión también puede ayudar al auditor a obtener un mejor entendimiento del ambiente de la organización. Un auditor debería examinar esto para determinar cuales los objetivos, las prioridades y los objetivos del plan son.

Tanto procedimientos manuales como automatizados en lugar

Los procedimientos en el lugar para llevar a cabo los objetivos necesarios deberían tener la posibilidad en cuenta de apagones u otras situaciones en las cuales la tecnología no se puede utilizar. El plan debería indicar que procedimientos usarse en esta situación y también debería incluir la información sobre el almacenaje de linternas y velas, así como procedimientos de seguridad adicionales en caso de agujeros de gas, fuegos u otros fenómenos. Las carreras de juicio se deberían conducir para probar la eficacia de los procedimientos y la viabilidad.

El auditor debería:

Acuerdos contractuales con agencias/compañías externas

El plan tiene que tener el grado en cuenta de sus responsabilidades a otras entidades y su capacidad de asumir aquellos compromisos en lugar de un acontecimiento principal. ¿Están sus cláusulas en contratos que minimizan contra responsabilidad legal por falta del rendimiento en caso del desastre o alguna otra circunstancia extraña? Los acuerdos que pertenecen a establecimiento del apoyo y asistencia con la recuperación para la entidad también se deberían perfilar.

El auditor debería:

Resumen

En la conducción de la auditoría, el individuo o el equipo deberían hacer uso de varios otros procedimientos y procesos para conseguir los objetivos de la auditoría. Estos objetivos se deberían claramente declarar en el plan de auditoría. La certificación del Estándar británico en el LICENCIADO EN CIENCIAS de Continuidad del negocio 25999 está disponible de BSI.

Véase también

Enlaces externos



Buscar