RAI – Visión de Auditoría Interna en la Continuidad de Negocios 23 Marzo 200 Contenido • Conceptos • Buenas prácticas / estándares de referencia • Componentes típicos • Rol del Auditor Interno • Auditoría del Plan • Preguntas 2 Risk Consulting © 2009 Deloitte Touche Tohmatsu Conceptos Objetivos Generales de Continuidad de Negocios Objetivos de Continuidad de Negocios 3 Risk Consulting Viabilidad Mantener a la compañía en el negocio Proteger Ingresos/Ganancias Proteger los compromisos financieros de la compañía Continuidad de los nuevos negocios Preservar la capacidad de vender en el mercado Proteger la Marca Evitar la reprobación y pérdida de credibilidad pública © 2009 Deloitte Touche Tohmatsu Conceptos Predictive Modeling Anticipating the effects of emergencies before they happen Business Value Business Continuity Management Disaster Recovery Plan Contingency Plan Backups Plan for the recovery of data processing facilities Business Continuity Plan Building availability into management processes Plan for recovering Business operations Resilience Procedures to follow after operational mishaps Hardening the enterprise against all foreseeable emergencies Making exact copies of electronic data Continuous Availability Automatic rollover of information systems Vision © 2009 Deloitte Touche Tohmatsu Conceptos PHASE 1 PHASE 2 PHASE 3 PHASE 4 PHASE 5 PHASE 6 Emergency Response to Disruption Mobilization /Failover to Recovery Site Environment Restoration at Alternate Site Application Restoration at Alternate Site Data-Flow Restoration & Recreation Business Function Restoration Business Recovery Operations Mobilize Business Recovery Team EVENT Restore Workspace & Manage Backlog Execute Contingency Work Around Procedures Manual Data Re-Entry & Validation Re-Synch & Resume Business Operations Recovery Voice & Data Network IT Recovery Operations Mobilize IT Recovery Team Vital Records & Data Recovery Point Restore IT Systems, Applications, and Data Validate System & Application Integrity Recreate Lost Transactions & Data Backlogged Transactions Recovery Time © 2009 Deloitte Touche Tohmatsu Buenas prácticas / estándares de referencia Desarrollo e implementación • BS 25999 • DRII • BCI Gestión • ITIL • ISO 2700x Evaluación / Auditoría • Modelos de Madurez • BS 25999 • COBIT 6 Risk Consulting © 2009 Deloitte Touche Tohmatsu Componentes típicos Contenidos estándar • Análisis de Impacto / Análisis de riesgos • Plan de emergencias • Plan de gestión crisis • Árboles de llamada • Plan de recuperación de desastres • Plan de operación alternativa • Plan de recuperación de comunicaciones • Programas de capacitación y entrenamiento • Planes de prueba 7 Risk Consulting © 2009 Deloitte Touche Tohmatsu Normativas que pueden aplicar • BCCH Cap. III. J.1 (Emisión / Operación Tarjetas de Créditos) • BCCH Cap III. H.5 (Cámaras de Compensación de Pagos de Alto Valor) • SBIF Circular 17 ((Emisión / Operación Tarjetas de Créditos) • SBIF Cap. 1-13 (Clasificación Gestión y Solvencia) • SBIF Cap 1 -7 (Transferencia electrónica de información y fondos) • SBIF Cap 20 -7 (Procesamiento de datos. Servicios prestados o recibidos) • Superintendencia de Pensiones • Decreto supremo N°83: “Norma Técnica para los Órganos de la Administración del Estado sobre Seguridad y Confidencialidad de los Documentos Electrónicos • SUBTEL Circular 72 (infraestructura crítica de las empresas de telecomunicaciones, para el ingreso de Chile en la OECD) 8 Risk Consulting © 2009 Deloitte Touche Tohmatsu Rol del Auditor Interno Aspectos relevantes de participación del Auditor Interno • Velar y promover la existencia de los planes • Verificar que en su preparación se consideren los objetivos del negocio • Velar que se haya asignado la responsabilidad por la elaboración y mantenimiento de los planes • Verificar que los planes estén vigentes y actualizados • Verificar que la organización revise y pruebe los planes de manera periódica • Velar por que los resultados de las pruebas sean incorporados al ciclo de mantenimiento y mejora de los planes. • Participar como observador en las pruebas del plan 9 Risk Consulting © 2009 Deloitte Touche Tohmatsu Auditoría del plan Perspectiva COBIT Para la elaboración de un plan de Auditoría al Plan de Continuidad de Negocios, basado en COBIT, se debiera • Seleccionar los objetivos de control que tengan como requerimiento de negocio la Disponibilidad (Availability) • El plan debiera identificar las actividades de control asociadas al cumplimiento del objetivo, para todas las dimensiones de recursos de TI que apliquen • Correspondería, a continuación evaluar tanto el diseño de la actividad como su eficacia operativa. • Finalmente se pueden presentar las conclusiones y recomendaciones por dominio (PO, AI, DS, MO) 10 Risk Consulting © 2009 Deloitte Touche Tohmatsu Auditoría del plan Revisión basada en un Modelo de Madurez Para la elaboración de un plan de Auditoría al Plan de Continuidad de Negocios, basado en un Modelo de Madurez • Se establecen los niveles esperados de cumplimiento • Se evalúa cada dominios en base a las categorías definidas, asignándole un nivel de cumplimiento y evidenciando el respaldo de la evaluación. • Se establece el gap y las recomendaciones de remediación 11 Risk Consulting © 2009 Deloitte Touche Tohmatsu ¿Preguntas? 12 Risk Consulting © 2009 Deloitte Touche Tohmatsu Contactos Si tienes alguna duda o requieres más información, no dudes en contactarnos. Fernando Gaziano Socio de Auditoría Interna [email protected] Fono: 729 8281 Rodrigo Dantas Gerente de Risk Consulting [email protected] Fono: 729 8615 Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. © Dulcamara Rodriguez Gerente de Risk Consulting [email protected] Fono: 729 8684 2009 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados. 13 Risk Consulting © 2009 Deloitte Touche Tohmatsu