UTN
Facultad Regional Córdoba
Gru p o N º 8
In te g ran te s:
Bonino, Luciano
Durán, Javier
Guzmán, Ariel
Marelli, Maximiliano
U . T. N . - F. R . C . Auditoría de Sistemas
Tabla de Contenidos
1. I n t r o d u c c i ó n ................................................................................................................................ 3
4.1. Propósito.........................................................................................................................................................4
4.2. Descripción General del Resto del Documento .................................................................................4
2. O b j e t i v o ........................................................................................................................................ 5
3. L í m i t e s .......................................................................................................................................... 5
4. A l c a n c e s ....................................................................................................................................... 5
4.1. Identificar y Controlar Riesgos Potenciales. ......................................................................................5
4.2. Analizar el Impacto Sobre el Negocio. .................................................................................................5
4.3. Desarrollar Estrategias de Recupero. ...................................................................................................6
4.4. Determinar los Procedimientos para Estructurar un Plan de Contingencias ..........................6
4.5. Desarrollar Políticas Estándares y Documentar el Plan. ...............................................................7
4.6. Asegurar la Efectividad y la Constante Actualización del Plan. .................................................7
5. I m p l e m e n t a c i ó n d e l P l a n d e C o n t i n g e n c i a ............................................................................ 8
5.1. Niveles de Contingencias ..........................................................................................................................8
5.2. Período Crítico de Recuperación ............................................................................................................8
5.3. ¿Cómo armar un Plan de Contingencias? ...........................................................................................8
5.4. Elementos que Componen un Plan de Contingencias .....................................................................9
5.5. Procedimientos de Respaldo ....................................................................................................................9
5.6. Hardware y Software Alternativo ..........................................................................................................10
5.7. Procedimientos de Emergencia .............................................................................................................11
5.8. Prueba del Plan de Contingencias .......................................................................................................11
5.9. Mantenimiento del Plan de Contingencias ........................................................................................12
5.10. Auditoría del Plan de Contingencias ...................................................................................................12
6. C o n c l u s i ó n ................................................................................................................................. 1 3
7. A n e x o I ....................................................................................................................................... 1 4
7.1. Check List de Auditoría del Plan de Contingencia ........................................................................14
Verificación...........................................................................................................................................................14
8. A n e x o I I ...................................................................................................................................... 1 7
8.1. Definiciones, Acrónimos y Abreviatur as ............................................................................................17
8.2. Referencias ..................................................................................................................................................17
Plan de Contingenc ia
1. Introducción
A finales del siglo XX, los Sistemas Informáticos se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los Sistemas de Información de la
empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las
normas y estándares propiamente informáticos deben estar en concordancia con los de
toda la organización. En consecuencia, la estructura informática forma parte de lo que
se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero
no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de
una empresa, existe la Auditoría Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha
considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A
causa de esto, se ha tomado la frase “Tiene Auditoría” como sinónimo de que, en dicha
entidad, antes de realizarse la auditoría, ya se habían detectado fallas.
El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza
con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una
entidad, etc.
Una Auditoría es un examen crítico pero no mecánico, que no implica la preexistencia
de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y
eficiencia de una sección o de un organismo.
Los principales objetivos que constituyen a la auditoría Informática son el control de la
función informática, el análisis de la eficiencia de los Sistemas Informáticos que
comporta, la verificación del cumplimiento de la normativa general de la empresa en
este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos
informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos
que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de
Información. Claro está, que para la realización de una auditoría informática eficaz, se
debe entender a la empresa en su más amplio sentido, ya que una Universidad, un
Ministerio o un Hospital son tan empresas como una Sociedad Anónima. Todos utilizan
la informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de
obtener beneficios económicos y menores costos.
Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al
control correspondiente, o al menos deberían estarlo. La importancia de llevar un
control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:
Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En
este caso interviene la Auditoría Informática de Seguridad.
Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son, a
su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas
Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de realizar Auditoría de Sistemas.
4.1. Propósito
El propósito del presente trabajo es brindar una introducción a la Auditoría de Plan
de Contingencia, dado que el conocimiento y el nivel de especialización que se
requiere para realizar una Auditoría de Plan de Contingencia no pretendemos con
este trabajo enseñar a realizar una Auditoría de Plan de Contingencia; nuestro
propósito es mucho más modesto. En el presente trabajo vamos a presentar el
tema y mostrar los puntos salientes que deben considerarse a la hora de encarar
una Auditoría de Plan de Contingencia. En síntesis lo que buscamos es aportarles
un punto de partida y una guía útil a la hora de a abordar una Auditoría de Plan de
Contingencia.
2. Objetivo
Cuando hablamos de Plan de Contingencia hacemos referencia a un conjunto de pasos
a seguir que se llevan a cabo, en caso que ocurra una contingencia. Esta planificación
tiene como objetivo:
Maximizar la capacidad de mantener el nivel de procesamiento a un costo
razonable y en el ámbito aceptable.
Mantener la continuidad del negocio durante el periodo de tiempo que hay entre la
ocurrencia del siniestro y la recuperación total de las facilidades del
procesamiento.
Minimizar los daños y las perdidas económicas.
3. Límites
Para delimitar el ámbito de este trabajo sobre Auditoría del Plan de Contingencia, se
entenderá que el mismo comprende desde el momento que surge una necesidad de
mejorar cuestiones de seguridad informática o detectar riesgos potenciales, hasta la
entrega del informe final por parte del auditor.
4. Alcances
Todo Plan de Contingencia debe tener cierto alcance y contemplar puntos tales como:
Gerenciamiento y administración
Equipamiento y logística
Preparación de datos
Tecnologías de back up
Almacenamiento y Espejado
Según los criterios utilizados para determinar si una aplicación es crítica o no, se
deben definir diferentes niveles, como se detallan en el cuadro siguiente:
Prioridades de procesamiento
Mirroring o Duplexing
Discos Flexibles
Minicartucho
Discos ópticos
5.6. H a r d w a r e y S o f t w a r e Al t e r n a t i v o
Las contingencias más costosas generalmente son las que perjudican las
instalaciones físicas primarias, como alternativa de solución ante esto, existen
sedes de Hardware alternativo o instalaciones de Backup Off Site. Estos son
lugares alternativos donde se puede continuar realizando el procesamiento de
datos de la empresa, en caso de producirse una contingencia de esta clase. Entre
este tipo de instalaciones podemos mencionar las siguientes:
H o t S i t e s : son centros de procesamiento totalmente configurados y listos para
operar en pocas horas.
W a r m S i t e s : centros parcialmente configurados, con algún equipo periférico y
sin CPU o una de menor tamaño.
C o l d S i t e s : centros con el ambiente básico para montar un centro de
procesamiento de información.
Masiva
Importante
Parcial y Temporaria
Menor
Contacto con los responsables / organizar Equipos
Contacto con Proveedores
Contacto con Compañía de seguros
Evaluación de daños, capacidad operacional remanente, determinando y
priorizando aplicaciones críticas a procesar
Pre-Prueba
Prueba
Post – Prueba
En Papel
A Nivel de Recuperación
Totalmente Operativa
Cantidad de trabajo
Recuento de necesidades
Exactitud de la recuperación
6. Conclusión
Está claro cuales son las desventajas que trae aparejado no contemplar o prevenir de
antemano posibles contingencias en los distintos sistemas informáticos de una
organización ya que las mismas pueden ocasionar perdidas irrecuperables, por eso
decimos que lo importante de esto es hacerse la pregunta ¿Qué pasaría si ocurriese
una contingencia?, y hacer un análisis adecuado de Costo-Beneficio para poder
dimensionar el valor que tiene la información, como así también la continuidad del
negocio.
Técnicamente, un plan que no fue escrito, que nunca fue probado, o que no está
disponible cuando se lo necesita, es simplemente una pérdida de tiempo, dinero y
energía. No existe tal cosa como un plan no escrito, es sólo una idea, y no sirve
absolutamente de nada cuando las cosas fallan.
Esto nos lleva a afirmar que todo lo que se planifique en materia de Plan de
Contingencias es una inversión a largo plazo en la organización y no un gasto; pero no
debemos perder de vista la relación costo beneficio, siempre existirá un modo más
económico de hacer las cosas y recuperar la información y en general este modo más
económico demandará un mayor tiempo de interrupción. Lo más difícil será determinar
el punto de equilibrio óptimo para la organización y este es uno de los puntos que
mayor valor agregado dará al informe final del Auditor.
Realizar un análisis correcto en el momento adecuado nos permite identificar posibles
mejoras de especificaciones en los distintos sistemas informáticos, como así también
de las instalaciones y en muchos casos provoca cambios que hacen maximizar las
capacidades de los mismos y mejorar los procesos de negocios para eliminar o
disminuir los riesgos y los puntos críticos detectados. Por este motivo debemos ver al
plan de contingencia como un objeto dinámico que debe acompañar el crecimiento y
los cambios que suceden en la organización
Para finalizar, es importante destacar la importancia que tiene concientizar a los
individuos responsables, tanto del área de sistemas como de toda la organización en
sí, con el objetivo de tomar los recaudos necesarios en cuanto al cuidado que merece
la información y los equipos que la contienen.
7. Anexo I
Condiciones
V er i f i c a c i ó n
Si No No Aplica
1. *¿Existe un plan de contingencia documentado?
2. *¿Se identificó un responsable del mantenimiento e
implementación del plan de contingencia?
3. *Se identificaron y evaluaron los riesgos potenciales
en lo referido a:
Ubicación
Infraestructura
Back up y protección de información
Seguridad de la información (hardware, software,
datos, redes)
Protección de base espejada
4. Impacto en el negocio
*¿Se identificaron las funciones críticas del
negocio?
*¿Se cuantificó el valor de la información?
*¿Se valoraron las pérdidas financieras para el
negocio de la interrupción de la continuidad de los
sistemas?
*¿Se determino el impacto en los clientes y
proveedores de la interrupción?
*¿Se determinaron los tiempos de inoperatividad
permitidos para cada una de las funciones del
negocio (críticas y no críticas)?
5. Estrategias de Recupero
*¿Se determinaron los riesgos y los niveles
aceptables para los mismos?
*¿Se identificaron los recursos mínimos
necesarios para el funcionamiento del negocio?
*¿Se establecieron sitios alternativos de
almacenaje y procesamiento?
*¿Se evaluó la eficacia de los controles
preventivos?
*¿Están documentados los procedimientos de
implementación para las estrategias de recupero?
6. *¿Se identificaron las capacidades de procesamiento
mínimas requeridas para las acciones de
recuperación?
Condiciones
V er i f i c a c i ó n
Si No No Aplica
7. *¿Se identificaron los procedimientos técnicos de
recuperación y la secuencia de ejecución de los
mismos?
8. Servicios técnicos, comunicaciones, redes y soporte
¿Se cuenta con proveedores alternativos para el
servicio de comunicaciones?
*¿Se cuenta con un respaldo de la información y
los programas en una ubicación física diferente?
*¿Se seleccionaron las políticas, procedimientos y
tecnologías de backup?
9. *¿Se capacitó al personal en los procedimientos de
emergencia?
10. *¿Se realizan, de manera frecuente y aleatoria,
simulacros de recupero?
11. *¿Se testea la capacidad del centro de cómputos
alternativo?
12. *¿Se evaluaron los resultados de las pruebas y
simulacros de recupero, internas y del centro de
cómputos alternativo?
13. Actualizaciones
*¿Se mantiene el plan de contingencia actualizado
frente a los cambios ocurridos en el negocio?
¿Se evalúan nuevas tecnologías y opciones de
recuperación que mejoren la relación costo
beneficio para el negocio?
14. *¿Es razonable la relación costo beneficio del plan de
contingencia implementado para el negocio?
15. software
*¿Existe una copia del software original para
reinstalar fuera de la organización?
*¿Se cuenta con una estimación del tiempo que
llevará la reinstalación para dejar el software
operacional?
Condiciones
V er i f i c a c i ó n
Si No No Aplica
16. Hardware
*¿Disponemos de un inventario del hardware de la
organización?
*¿Está actualizado?
*¿Se identificaron los componentes esenciales de
hardware?
*¿Son reparables internamente los componentes
esenciales del hardware?
*¿Hay dependencia hacia un tercero para realizar
reparaciones?
*¿Existen componentes de hardware que no sean
reparables?
Nota:
Las preguntas indicadas con * (asterisco) son de carácter invalidante, si aplican, para la aceptación del Plan de
Contingencia de la Organización.
8. Anexo II
8.1. D e f i n i c i o n e s , A c r ó n i m o s y Ab r e v i a t u r a s
Término Definición
Backup Resguardo de la información
Off Site: Fuera de sitio
Hot Sites Cando se refiere a Hot Sites son centros de procesamiento totalmente equipados que
pueden estar en funcionamiento en pocas horas
Warn Sites Son centros de Procesamientos que tienen una estructura parcial
Cold Sites Son centros que tienen una estructura básica, pero para que funcionen hay que montar
todo el centro de procesamiento
Mirroring Duplicación de la información en línea, es decir, en el momento que se realiza una
transacción, se duplica
8.2. Referencias
A continuación se describen todas las fuentes consultadas para la generación del
presente trabajo.
ID del Documento Título del Documento Número de Fecha de Organización que lo
Reporte Publicación Publica
http://www.iir.com.ar “Como preparar y desarrollar un 30/01/2002 Institute for
(Sección Training) Plan de Contingencias para prevenir y International Research
recuperar Desastres Informáticos”
http://www.jebsen.com.ar Plan de Contingencia De Sistemas / IT 01/11/2000 Jebsen & Co.
(Sección Información -
Departamento de
Sistemas / IT)
http://www.jebsen.com.ar Plan de Contingencias 01/11/1998 Jebsen & Co.
(Sección Información -
Departamento de
Sistemas / IT)