CERTIFICACIÓN DE CAPACITACIÓN PARA EL CENSO - tfdxwBRz6f3AP7QU.pdf
Semana 06 - Auditoria de Sistemas.pdf
1. Auditoria de Sistema – Jorge Luis Chumpitaz Vélez
Auditoría al ciclo de vida de sistemas de
información y a la infraestructura tecnológica
06
02
2. Parte 01 – Auditoría al Mantenimiento
y Desarrollo de Sistemas
Ing. Jorge Luis Chumpitaz Vélez
jchumpitaz@continental.edu.pe
3. Auditoría de Desarrollo de Sistemas
¿En qué Consiste?
El desarrollo de un software debe estar sometido a
un exhaustivo control de cada una de sus fases, ya
que en caso contrario, además del habitual disparo
de los costes, podría producirse una total
insatisfacción del usuario si finalmente no cumple
las funcionalidades necesarias así como la
ergonomía de los interfaces de la misma.
Además, la auditoría deberá comprobar la
seguridad del software desarrollado al objeto de
garantizar que el resultado de su ejecución sea
exactamente el previsto, y que no interfiere con el
resto de aplicaciones de la empresa.
13. Auditoría de Desarrollo de Sistemas
Revisión Interna de las Aplicaciones: Se deberá controlar las mismas fases que presuntamente ha debido seguir el área
correspondiente de Desarrollo:
• Estudio de Aptitud de la Aplicación. (Muy determinante para Aplicaciones complejas, largas y caras).
• Definición lógica de la Aplicación. (Se examinará que se han completado los propósitos lógicos de actuación, en
función de la metodología elegida y la finalidad del proyecto).
• Desarrollo Técnico de la Aplicación. (Se verificará que éste es ordenado y correcto. Las herramientas técnicas
utilizadas en los diversos programas deberán ser compatibles entre sí, y a ser posible con las ya existentes en el
sistema de la empresa).
• Diseño de Algoritmos. (Deberán poseer la máxima sencillez, modularidad y economía de recursos).
• Metodología de Ensayos. (Se realizaran de acuerdo a las Normas de la Instalación. Se realizarán juegos de ensayo de
datos, sin que se permita en ningún caso el uso de datos reales).
• Documentación de la Aplicación. (Cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la
de su puesta a Explotación).
14. Parte 02 – Continuidad del
Negocio
Ing. Jorge Luis Chumpitaz Vélez
jchumpitaz@continental.edu.pe
16. Gestión de la Continuidad del Negocio
Propósito: Reducir los riesgos en los servicios de TI a niveles
acordados y aceptables, así como planear y preparar la
recuperación de los servicios de TI.
Objetivos:
• Mantener la continuidad de TI y los planes de recuperación
que soportan los Planes de Continuidad del Negocio(BCPs).
• Realizar regularmente ejercicios de Análisis de Impacto al
Negocio( así como de Análisis y Gestión de Riesgos).
• Implementar los mecanismos de recuperación apropiados.
• Evaluar el impacto de todos los cambios en Planes de
Continuidad de Servicios de TI y Planes de Recuperación de
TI.
• En conjunto con Gestión Proveedores, negociar y acordar
contratos con los proveedores que proporcionen la
recuperación.
17. ISO 22301 Sistema de Gestión de la Continuidad
de Negocio
ISO 22301 es la norma internacional de gestión de
continuidad de negocio que, mediante el ciclo de
mejora continua (PDCA), establece los requisitos
para planificar, establecer, implantar, operar,
supervisar, revisar, probar, mantener y mejorar un
sistema de gestión documentado para prepararse,
responder y recuperarse de eventos que generan
interrupciones, teniendo en cuenta la gestión de los
riesgos globales y su capacidad de resiliencia.
Otras Normas Internacionales
Única norma existente de desarrollo
continuo, que señala áreas funcionales clave
y una estrategia global para alertar ante
desastres y la continuidad laboral en las
organizaciones tanto del sector público como
del privado.
Guía general para que proporciona una base
para comprender, desarrollar e implementar la
continuidad de las operaciones y los servicios
dentro de una organización. Asimismo, permite
medir su resiliencia de manera consistente y
reconocida.
https://www.youtube.com/watch?v=cOB24QtqaK4
18. Parte 03 – Planificación y BIA
Ing. Jorge Luis Chumpitaz Vélez
jchumpitaz@continental.edu.pe
19. BIA (Business Impact Analysis)
• El Análisis de Impacto sobre el Negocio o BIA (Business
Impact Analysis) permite identificar los impactos
derivados de posibles incidentes disruptivos, asimismo las
actividades criticas de la organización, facilidades y
recurso humano mínimo necesario para garantizar las
operaciones del negocio.
• El Análisis de Impacto al Negocio (BIA) responde las
siguientes preguntas:
• ¿Cuánto podría perder la organización por una
interrupción del servicio o por un desastre?
• ¿Con qué rapidez se acumulan las pérdidas?
• ¿Con cuánto tiempo se cuenta antes de que la
empresa no pueda operar?
• ¿Cuándo y cómo los servicios se deben recuperar
(con base a un análisis de costo/beneficio)?
20. Fases de un BIA (Business Impact Analysis)
▪ Método (Cuantitativo o Cualitativo).
▪ Documentación necesaria de la
organización.
▪ Recursos humanos (Dueños de procesos).
▪ Impactos a ser analizados.
▪ Identificación de los procesos del negocio.
PLANIFICACIÓN
.
RECOLECCION DE DATOS
.
▪ Entrevistas Grupales (Dueño del proceso, Experto del proceso )
▪ Información a recolectar (Evaluación de impactos, Identificación de Interdependencias y
de RTO,RPO, Subprocesos por cada proceso del negocio).
ANALISIS
.
De la información recolectada, se debe realizar las siguientes actividades:
▪ Verificar que los cuestionarios estén completos
▪ Identificar puntos a consultar
21. Fases de un BIA (Business Impact Analysis)
▪ Validar la información recolectada y
analizada.
▪ Validar con dueños del proceso a los recursos
utilizados por cada proceso.
▪ Valores proporcionados sobre RTO y RPO
VALIDACIÓN
.
PRESENTACIÓN
.
No existe un formato común para presentar un informe. Considerar como mínimo:
▪ Evaluación de Impacto
▪ RTO y RPO
▪ Interdependencia de
recursos tecnológicos
▪ Actividades principales
▪ Evaluación Financiera, de
Proveedores Externos
(Opcional)
22. Análisis de Riesgos en BIA (Business Impact Analysis)
A partir de la información obtenida en las reuniones
iniciales, se identifica:
• ¿Qué amenazas pueden materializarse afectando a los
procesos del alcance? ¿Con qué probabilidad?
• ¿Qué impacto tendrían en éstos y qué activos de
aquellos que intervienen en los procesos de negocio
críticos se verían afectados?
1.
Determinar
amenazadas
2.
Determinar
Probabilidad
e Impacto
3. Calcular el
producto (**)
(**) De la probabilidad por
impacto de cada amenaza.
Por último, una vez
establecidos los principales
riesgos, se de deben tratar de
manera adecuada mediante
una de las siguientes
estrategias:
23. Parte 04 – Recuperación de
desastres
Ing. Jorge Luis Chumpitaz Vélez
jchumpitaz@continental.edu.pe
24. Desastres
¿Qué son los Desastres?
Son interrupciones que ocasionan que una compañía quede
inoperativa por un periodo de tiempo que impacte
adversamente sus operaciones, las cuales obligan a tomar
decisiones para recuperar el estado operativo.
¿Cuál puede ser el origen?
• Natural: Terremotos, tsunamis, inundaciones,
huaicos, huracanes, etc. (Ej. derrumbe de las
torres gemelas, epidemia SARS, el apagón a
gran escala en el Noreste de USA y Canadá, etc.
• Técnico: Muy común en las
organizaciones, por ejemplo:
apagones, malware, fallas en la
infraestructura, etc.
• Humano: Por ejemplo, un incendio
provocado por un atentado, una huelga,
entre otros.
25. Planeación a la Continuidad del Negocio y
recuperación de Desastres
El Plan de continuidad del negocio o BCP (Business Continuity Plan),
es un método logístico para ser ejecutado y practicado en la forma
del “Cómo” una organización debe recuperar y restaurar las
funciones críticas que han sido interrumpidas de manera súbita o no
deseada dentro de un tiempo específico.
Plan de Continuidad de
Operaciones
Ejecutado por las áreas usuarios, en
donde para ejecutar sus procesos podrían
usar sistemas stand-alone, hojas cálculo o
incluso procedimientos manuales a papel
y lápiz para continuar con las operaciones
críticas.
Plan de Recuperación de
Desastres
Ejecutado por el área de TI y tiene como
objetivo recuperar los recursos
informáticos que soportan los procesos
críticos de una compañía.
El BCP puede ser escrito para un proceso de negocio específico o para todos aquellos de misión
crítica, y se compone de un conjunto de planes, por lo que ambos ambos planes se debe trabajar en
paralelo.
26. Recuperación de desastres
• Planes de recuperación ante desastres (DRP): un conjunto de
planes claramente definidos relacionados con la forma en que
una organización se recuperará de un desastre y regresará a
una condición previa al desastre considerando los cuatro
dominios de la administración de servicios.
• Objetivo de tiempo de recuperación (RTO-Recovery
time objective) el período de tiempo máximo aceptable
después de una interrupción del servicio que puede
transcurrir antes de que la falta de funcionalidad
empresarial afecte gravemente a la organización el
tiempo máximo acordado dentro del cual se debe
reanudar un producto o una actividad, o los recursos
recuperado.
• Objetivo de punto de recuperación (RPO - Recovery
point objective) el punto en el que la información
utilizada por una actividad debe restaurarse para
permitir que la actividad funcione en la reanudación.
27. Plan de Recuperación de desastres (DRP)
El Plan de Recuperación de Desastres
(DRP) se refiere a un procedimiento
estratégico muy específico del área de
tecnologías de la información que se pone en
marcha cuando hay un daño en los sistemas de
cómputo.
Implica un análisis de los procesos de negocio y
las necesidades de continuidad de la
organización, debe implementarse en base al
tipo de negocio o servicio que se brinda, por lo
que es importante que en cada empresa se
conozcan los procesos de TI, vulnerabilidades y
el nivel de seguridad que tienen para la
protección de los datos.
28. Gracias!
Ing. Jorge Luis Chumpitaz Vélez
Docente Universidad Continental
E-Mail: jchumpitaz@continental.edu.pe
Facebook: facebook.com/jorgeluischumpitaz
Linkedin: pe.linkedin.com/in/jorgeluischumpitaz
Skype: jorgeluischumpitaz