UNIVERSIDAD ESAN

MAESTRA EN DIRECCIN DE TECNOLOGAS DE LA INFORMACIN

ASIGNATURA: Auditoria Informtica.

PROFESOR: Valent Faura.

Auditora de Continuidad del Negocio y Recuperacin de

TTULO TRABAJO:
Desastres.

El presente trabajo ha sido realizado de acuerdo a los reglamentos

de la Universidad ESAN por:

Silvia Cecilia Jimnez Delgado MATDI04

Elizabeth Caldern de la Barca Canta MATDI04

Arturo Medina Llanos MADTI04

Xavier Gutirrez Coral MADTI04

Surco, Noviembre 2010

1
 Contenido

1. ANTECEDENTES DE LA EMPRESA.............................................................................3

2. Auditoria de Continuidad de Negocio y Recuperacin de Desastres.............................4

2
1. Antecedentes de la empresa.
Pacfico Seguros es una compaa de seguros generales y salud, que basa sus
procesos de prestacin de servicios a sus asegurados y corredores de seguros en el
tratamiento adecuado de la informacin proporcionada como parte de los procesos de
suscripcin de plizas y de reclamacin de siniestros. La calidad e integridad de la
informacin es fundamental para mantener los niveles de servicio al cliente por el que
la empresa es reconocida a nivel nacional. Adicionalmente en el rea mdica, la
informacin relacionada con el diagnstico y tratamiento de enfermedades debe
mantenerse protegida debido a la regulacin nacional sobre el secreto profesional
mdico.
Finalmente los procesos de atencin de emergencias, sean por robos, accidentes
industriales, automovilsticos, o de urgencias mdicas requieren la disponibilidad 24
horas al da por 7 das a la semana del centro de atencin telefnica (call center).

3
2. Auditoria de Continuidad de Negocio y Recuperacin de
Desastres
I. Gestin de la Continuidad de Negocio

CUESTIONARIO CUMPLIMIENTO OBSERVACIONES

SI /NO/ PARC
1. La empresa ha determinado
el impacto que tendra una
interrupcin de los procesos
que soportan los productos
y servicios crticos de la
empresa. SI
2. La empresa cuenta con
procedimientos de gestin
de crisis que le permiten
enfrentar un evento de
SI
interrupcin de
operaciones.

3. La Empresa cuenta con una

Definicin de los niveles de
contingencia

Interrupcin de energa en SI
el centro de cmputo.
SI
Movimiento ssmico.
Incendio en el centro de SI
cmputo.
Dao por agua o humo SI
dentro del centro de
cmputo.
Disturbios sociales que
impidan el acceso al SI
Personal de Pacfico al
edificio o al centro de
cmputo.
SI
Sabotaje.
Ataque a la seguridad de la SI
red
Virus SI
Fraudes
Problemas legales o Contr. SI

4
4. La empresa cuenta con una
categorizacin de Eventos
para manejar acciones
especficas:

Escenario tolerable:
eventos que generen
interrupciones de hasta 1
hora.
Escenario intermedio: SI
hasta 3 horas.
Escenario grave: desde 3
hasta 24 horas. Incluye
activacin del centro de
cmputo alterno.
Escenario muy grave:
interrupciones de ms de
24 horas. Incluye
activacin de centro de
cmputo alterno.

5. La empresa cuenta con una

Distribucin del Plan de
Continuidad de TI:

Comunicacin a los lderes

y ejecutores del proceso
de contingencia y
recuperacin de desastres.
SI
Comunicacin a la
direccin de la empresa.
Comunicaciones a los
diversos usuarios internos
en la empresa.
Comunicacin a los
clientes, socios de
negocios y pblico en
general, de requerirse.

5
6. La empresa cuenta con
procedimientos para
salvaguardar la integridad
fsica del personal.
La Empresa no cuenta con procedimientos para
salvaguardar la integridad fsica del personal.
NO
Se recomienda conformar una Unidad de Seguridad,
que tenga las funciones y la responsabilidad de
mantener la integridad fsica del personal.

Asimismo, se recomienda realizar prcticas de

evacuacin en coordinacin con INDECI, charlas de
difusin al personal de la empresa as como,
implementar un Plan de Emergencia y la constitucin
de grupos de brigadistas que acten como
coordinadores en caso de siniestros.

7. La empresa ha determinado
la conformacin de equipos
de Trabajo debidamente
entrenados con cargos
especficos para gestionar
los escenarios de
Contingencia:

Equipo de sistemas. A
cargo de las acciones y
decisiones tcnicas de
recuperacin.
Equipo ejecutivo de
SI
continuidad operacional.
Para decisiones tcticas y
operativas en relacin a la
contingencia.
Equipo gerencial (alta
direccin). Para decisiones
estratgicas y relacin con
el exterior de la empresa.
Equipo de usuarios.
Organizados por sub-
equipos segn las reas
crticas contempladas en el
presente plan (siniestros,
call center/plataforma,
caja/tesorera y emisin).

6
8. La empresa cuenta con un Se recomienda implementar un Plan de
Plan de Entrenamiento de Entrenamiento Anual en el cual se capacite de manera
los Equipos conformados, NO peridica a los integrantes del equipo de Gestin del
para afrontar un evento. DRP.

9. La empresa cuenta con XAVI

Procedimientos de
Respaldo de Alternativo
antes un evento o un
Desastre.

10.La empresa cuenta con XAVI

Procedimientos de
Respaldo de Alternativo
durante un evento o un
Desastre.

11.La empresa cuenta con XAVI

Procedimientos de
Respaldo de
Procesamientos Alternativo
despus de un Evento

12.La empresa cuenta con un SI

Plan de Almacenamiento de
Documentacin y copias de
respaldo.

13.En la empresa se realizan

pruebas de continuidad de
negocios (incluyendo SI
contingencias TI) y se toman
acciones en funcin de los
resultados obtenidos.

MENSUAL
SEMESTRAL
ANUAL X

7
II. Seguridad de la Informacin

CUESTIONARIO CUMPLIMIENTO OBSERVACIONES

SI /NO/ PARC
14.La empresa cuenta con una Se recomienda que la funcin de gestin de la
estructura organizacional seguridad de la Informacin este a cargo de una
para la gestin de la NO Unidad o rea de Fraude y Seguridad de la
seguridad de la informacin Informacin, la misma que deber contar con los
de acuerdo con su tamao y recursos, tanto humanos como tecnolgicos,
la complejidad de sus garantizando as la independencia necesaria para la
operaciones. realizacin de las mismas.

15.La empresa cuenta con un

La empresa cuenta con documentacin bsica sobre
sistema de gestin de la
PARCIAL sistemas de gestin de la seguridad de la informacin.
seguridad de la informacin
Se recomienda que la empresa apruebe un marco
que se encuentra
normativo que permita implementar las polticas de
implementado.
seguridad de la informacin y un esquema de
monitoreo que permita garantizar la implantacin del
mismo.

16.La empresa cuenta con

La empresa no cuenta con polticas y procedimientos
polticas y procedimientos
que describen los procesos de otorgamiento de
de seguridad lgica para el
accesos a los sistemas. Se recomienda que todos los
control de accesos a los
NO accesos sean otorgados teniendo en cuenta la funcin
sistemas de informacin,
que tiene cada trabajador y el puesto que ocupa
redes y sistemas
(perfil) y el aprovisionamiento para los sistemas
operativos, as como los
principales se realiza con procesos automatizados.
atributos que se confieren.
Herramientas propuestas:

RACF

LDAP

Windows / Active Directory

17.La empresa cuenta con La Empresa no cuenta con los procedimientos de

procedimientos de seguridad de personal. En este sentido se
seguridad de personal, recomienda, establecer procedimientos para reducir

8
 conforme a lo sealado en
la normativa vigente.
NO
18.La empresa cuenta con
controles de seguridad
fsica para evitar el acceso,
dao o interceptacin de
NO
informacin.
19.La empresa cuenta con
controles referidos a la
seguridad de las
operaciones y
NO
comunicaciones conforme a
la normativa vigente.
los riesgos asociados al error humano, robo, fraude o
mal uso de activos, vinculados al riesgo de tecnologa
de informacin. Adems se deber complementar
esta recomendacin con la publicacin de polticas
referidas a la propiedad de la informacin y a la
responsabilidad que tienen los usuarios propietarios
para clasificar y custodiar sus activos de informacin.
Asimismo, se deber implantar una normativa interna
que considere la definicin de roles y
responsabilidades establecidos sobre la seguridad de
informacin, adems de la verificacin de
antecedentes, polticas de rotacin y vacaciones. Los
procesos de ceses de personal y revocacin de
accesos estn automatizados.
La empresa no ha implementado controles y polticas
de seguridad referidos al control de acceso fsico a los
ambientes donde residen los equipos que contienen
informacin as como tambin los controles
ambientales.
Se recomienda que para tener un correcto
funcionamiento y garantizar la disponibilidad de la
informacin se implemente medidas adicionales para
las reas de trabajo con necesidades especiales de
seguridad, como los centros de procesamiento, entre
ellas cmaras de vigilancia, control de accesos y
Registro electrnico de accesos a las salas de
servidores.
La Empresa no cuenta con controles referidos a la
seguridad de las operaciones y comunicaciones, se
recomienda que para una adecuada seguridad de las
operaciones y comunicaciones se implementen los
siguientes procesos y controles:
Procedimiento para la operacin de los sistemas
Control de cambios sobre el entorno de
produccin
Separacin de los entornos de produccin y
pruebas
Seguimiento permanente a los acuerdos de
niveles de servicio con el proveedor externo (CCR)
9
 Controles preventivos a software de procedencia
dudosa,
Se implementaron esquemas y equipos de
seguridad en la red perimetral, configuracin
segura de sistemas, etc
Seguridad en el correo electrnico con equipos
antispam y filtro de contenido.
Revisin de vulnerabilidades mediante hacking
tico.

10