Auditar el plan de continuidad - una forma de evitar sustos!!

Debido a las solicitudes de los participantes en el blog de seguridad de la información. (http://groups.google.com/group/Seguridad-de-la-informacion), creo que vale la pena detallar un poco una metodología propuesta para la prueba y la auditoría de un plan de continuidad de negocios; el cual según mis consideraciones debe ser analizado desde las perspectivas de: Estrategia, Procesos, Tecnología y Personas.

Cabe anotar que la norma BS25999 da una muy buena referencia sobre los puntos que se deben auditar en el plan de continuidad, sin embargo siempre hay algo más para agregar a nivel funcional.

Esto es lo que yo considero relevante dentro de un proceso de auditoría a nivel de planes de continuidad, a ver ustedes que opinan.

1. Validación de los procesos del BCP y estrategias de continuidad frente a la cadena de valor del negocio y activos de información que los soporta
   - Validación de recursos necesarios para poner en marcha los procesos de continuidad
   - Verificación de la homologación de procesos con la oficina de Organización y Métodos existente en la empresa, asi como verificación de posibles brechas existentes si han existido actualizaciones en la infraestuctura que soporta los procesos.
   - Validación de las estrategias y procesos de continuidad con terceros proveedores de servicios


2. Verificación de vulnerabilidades y riesgos residuales o nivel de exposición a riesgos de pérdida o alteración de información debidas deficiencias en la infraestructura de respaldo. (Ideal considerar ataques lógicos a la infraestructura de respaldo)


3. Verificar los stakeholders del plan, conocimiento de los mismos sobre los acuerdos de nivel de servicio (SLA) del plan de continuidad y existencia de herramientas para la medición del SLA.


4. Evaluación de conocimientos a través de la evaluación escrita de interiorización de los procesos del BCP según los roles asignados así como la evaluación a través de entrevistas según los roles asignados sobre su nivel de conocimiento de las actividades que se desarrollan y finalmente una evaluación a través de ejercicios de simulación de amenazas.


5. Verificación de los procesos de transferencia de conocimiento y entrenamiento del recurso humano frente a los procesos de continuidad y recuperación.


6. Verificación de los resultados y ajustes para el proceso de simulación de una amenaza enfocada a un área específica del departamento de TI y/o de las áreas funcionales de la compañía
   - Evaluación de cumplimiento de los procedimientos diseñados
   - Evaluación de efectividad en la restauración de las operaciones del negocio


7. Verificación de resultados y proceso de simulación de una amenaza con alcance sobre todos los departamentos de TI y las áreas funcionales de la compañía.
   - Evaluación de cumplimiento de los procedimientos diseñados
   - Evaluación de efectividad en la restauración de las operaciones del negocio


8. Evaluación de operación de infraestructura requerida para la operación de la contingencia


9. Evaluación de capacidad de operación de los sistemas críticos desde la localización de la infraestructura de contingencia


10. Cobertura y alcance del plan de pruebas del BCP, asi como medición del nivel de efectividad del mismo.
    - Definición del alcance del plan de pruebas
    - Definición de las etapas del plan de pruebas
    - Identificación del personal requerido para ejecutar las pruebas


11. Alcance y resultados de la implementación del proceso de gestión del cambio
    - Verificación de plan de comunicaciones
    - Resultados de la ejecución de talleres de comunicación
    - Resultados y ajustes del plan de concientización y capacitación
    - Contenidos asociados con talleres de capacitación en aspectos técnicos del BCP
    - Contenidos asociados con de concientización relacionados con la importancia del plan de continuidad para el negocio


12. Verificación de los procesos de actualización y mantenimiento permanente del BCP. (Roles, responsabilidades, controles y registros)


13. Verificación de métricas, a nivel de desempeño de los servicios para cliente externo e interno. Validar el nivel de alineación de los indicadores con los SLAs y con la estrategia de negocio, asi como su interrelación.

Espero sus comentarios para ver como mejoramos ésto, o por lo menos se define algo un poco más detallado.

Saludos