El objetivo de esta revisión es analizar y evaluar las políticas y procedimientos relacionados a la planificación de contingencia para asegurar la capacidad del ente para responder eficazmente ante desastres y otras situaciones de emergencia. Para conseguirlo, el equipo de auditoría realiza lo siguiente:
a) Revisión del plan de contingencia
Primero es necesario obtener una copia del plan o manual de recuperación de desastre y hacer lo siguiente: Realizar un muestreo de las copias distribuidas del manual y verificar que están actualizadas. Evaluar la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperación de desastre, planteándose preguntas como las siguientes:
1) ¿Identifica el plan los puntos de reunión del comité de administración de desastre o del equipo de administración de emergencia para que se reúnan y decidan si debe iniciarse la recuperación de desastre?
2) ¿Son adecuados los procedimientos documentados para una recuperación exitosa?
3) ¿Trata el plan de desastres de diverso grado?
Revisar la identificación y el soporte planificado de las aplicaciones críticas, incluyendo sistemas basados en Pc o desarrollados por usuarios finales para esto:
1) Determine si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de un desastre.
2) Determine si se han identificado todas las aplicaciones críticas, (incluyendo aplicaciones en PC).
3) Determine si en el “Hot Site” tiene las versiones correctas de sistema operativo.
Revisar la corrección e integridad de la lista de personal de recuperación de desastre, contactos de emergencia con el “Hot Site”, contactos de emergencia con proveedores, etc.
1) En la practica se sugiere realizar llamadas a una muestra de la gente indicada y verifique que los números de teléfono y domicilios son correctos y que posean copia del manual de recuperación de desastre.
2) Entrevistar al personal para obtener una comprensión de las responsabilidades que tienen asignadas en una situación de desastre.
Evaluar procedimientos para actualizar el manual. ¿Se aplican y distribuyen las actualizaciones de manera oportuna?. ¿Existen responsabilidades específicas respecto a mantener el manual actualizado?.
Determinar si los elementos necesarios para la reconstrucción de la instalación de procesamiento de información se almacenan en otra sede (planos, inventario de hardware, diagramas de cableado, etc.)
b) Evaluación del almacenamiento en sede alternativa
Debe evaluarse la instalación de almacenamiento en sede alternativa para asegurarse de la presencia, sincronización y actualización de los medios magnéticos y documentación críticas. Ello incluirá archivos de datos, software de aplicaciones, documentación de aplicaciones, software de sistemas, documentación de sistemas, documentación de operaciones, insumos necesarios, formularios especiales, y una copia del plan de contingencia. Para verificar las condiciones que se mencionaron, el auditor de sistemas debe realizar un examen detallado de inventario. Ese inventario debe incluir poner a prueba los nombres de correctos de los archivos, identificación de cintas o cassettes, ubicación correcta en los depósitos de las cintas o cassettes así como una revisión de la documentación y verificar que corresponda con documentación actualizada.
c) Revisión de cobertura de seguros.
Es esencial que la cobertura de seguros refleje el costo actual de la recuperación, por ende debe revisarse la adecuación de la cobertura de seguros para daños a medios magnéticos, interrupción de negocio, reemplazo del equipo, y procesamiento de contingencia. A fin de determinar la adecuación, obtenga una copia de las pólizas de seguros de la empresa y evalúe la adecuación de la cobertura.
d) Conocimientos de los procedimientos de recuperación por parte del personal.
El auditor de sistemas debe entrevistar al personal clave que se necesita para la recuperación con éxito de las operaciones del negocio. Todo el personal clave debe tener una comprensión de las responsabilidades asignadas, así como documentación detallada y actualizada que describe sus tareas.
e) Seguridad física en la instalación en sede alternativa.
Debe evaluarse la seguridad física en la instalación alternativa, para asegurarse de que tiene controles de acceso como ambientes apropiados, tales controles incluyen la capacidad de limitar el acceso solo a los usuarios autorizados de la instalación, piso sobre elevado, controles de humedad, controles de temperatura, circuitos especializados, fuente ininterrumpida de energía, dispositivos de detección de agua, detectores de humo y un sistema adecuado de extinción de incendios. El auditor de sistemas debe hacer un examen del equipo en busca de etiquetas de inspección y calibración vigentes.
f) Examen del contrato de procesamiento alternativo.
Debe revisarse el contrato con el proveedor de la instalación de procesamiento alternativo, teniendo en cuenta lo siguiente: Que el proveedor sea confiable y de prestigio. Que el proveedor ponga por escrito todo lo que promete. Asegurarse de que el contrato es claro y es comprensible para un Juez. Asegurarse de que se puede continuar trabajando con las reglas que son aplicables cuando se tenga que compartir la sede con otros suscriptores. Asegurarse que la cobertura de seguro se vincula y cubre todos o la mayoría de gastos del desastre. Prestar atención a los requerimientos de comunicaciones para la sede alternativa.