Recuperarea în caz de catastrofe și auditul continuității afacerii - Disaster recovery and business continuity auditing

Având în vedere dependența din ce în ce mai mare a organizațiilor de tehnologia informației pentru a-și conduce operațiunile, planificarea continuității afacerii acoperă întreaga organizație, iar recuperarea dezastrelor se concentrează pe IT .

Auditarea documentelor care acoperă continuitatea activității organizației și planurile de recuperare a dezastrelor oferă unei părți terțe validarea părților interesate că documentația este completă și nu conține declarații materiale .

Lipsa de completare poate avea ca rezultat neglijarea efectelor secundare, cum ar fi atunci când creșterea semnificativă a supraîncărcărilor de muncă la domiciliu, capacitatea de telecomunicații de pe site-ul de recuperare, iar salariile bi-săptămânale care nu au fost critice în primele 48 de ore provoacă acum probleme percepute în recuperarea vreodată. , complicat de reacția guvernamentală și, eventual, de uniune.

Prezentare generală

Adesea folosite împreună, termenii Continuitate de afaceri și recuperare în caz de dezastre sunt foarte diferiți. Continuitatea afacerii se referă la capacitatea unei întreprinderi de a continua funcțiile critice și procesele de afaceri după apariția unui dezastru, în timp ce recuperarea în caz de dezastre se referă în mod specific la tehnologia informației (IT) și funcțiile centrate pe date ale afacerii și este un subset de afaceri. Continuitate.

Valori

Obiectivul principal este protejarea organizației în cazul în care toate operațiile sau o parte din operațiunile sale și / sau serviciile informatice sunt reduse parțial sau complet inutilizabile.

Un plan de DR care ilustrează cronologia RPO și RTO în ceea ce privește MI .

Minimizarea timpului de oprire și a pierderilor de date în timpul recuperării dezastrelor se măsoară în termeni de două concepte:

• Obiectivul timpului de recuperare (RTO), timp până când un sistem este complet funcțional
• Obiectivul punctului de recuperare (RPO), o măsură a capacității de a recupera fișierele, specificând o restaurare la timp a copiei de rezervă.

Rolul auditorului

Un auditor examinează și evaluează

• că procedurile enunțate în planul BCP și DR sunt în concordanță cu practicile reale
• că o persoană specifică din cadrul organizației, căreia i se poate face referire ca ofițer de recuperare a dezastrelor, legătura de recuperare a dezastrelor, coordonatorul DR sau un alt titlu similar, are abilitățile tehnice, instruirea, experiența și abilitățile de a analiza capabilitățile membrii echipei să finalizeze sarcinile atribuite
• că mai mult de un individ este instruit și capabil să îndeplinească o anumită funcție. Testele și anchetele personalului pot ajuta la atingerea acestui obiectiv.

Documentație

Pentru a le maximiza eficiența, planurile de recuperare în caz de dezastre sunt cele mai eficiente atunci când sunt actualizate frecvent și ar trebui:

• să fie parte integrantă a tuturor proceselor de analiză a afacerii ,
• fi revizuit la fiecare achiziție corporativă majoră, la fiecare lansare de produse noi și la fiecare nou punct de dezvoltare a sistemului.

Înregistrări adecvate trebuie să fie păstrate de organizație. Auditorul examinează înregistrările, facturările și contractele pentru a verifica păstrarea înregistrărilor. O astfel de înregistrare este o listă actuală a furnizorilor de hardware și software ale organizației. O astfel de listă este întocmită și actualizată periodic pentru a reflecta schimbarea practicilor comerciale. Copiile acestuia sunt stocate pe site și în afara site-ului și sunt puse la dispoziție sau accesibile celor care le necesită. Un auditor testează procedurile utilizate pentru îndeplinirea acestui obiectiv și determină eficacitatea acestora.

Planul de recuperare a dezastrelor

Un plan de recuperare a dezastrelor ( DRP ) este un proces sau un set de proceduri documentate pentru a executa procesele de recuperare a dezastrelor unei organizații și a recupera și proteja o infrastructură IT de afaceri în caz de dezastru . Este „o declarație cuprinzătoare a acțiunilor consistente care trebuie luate înainte, în timpul și după un dezastru”. Dezastrul ar putea fi natural , de mediu sau creat de om . Dezastrele provocate de om pot fi intenționate (de exemplu, un act al unui terorist) sau neintenționate (adică accidentale, cum ar fi ruperea unui baraj creat de om).

Tipuri de planuri

Deși nu există un plan unic pentru toate dimensiunile, există trei strategii de bază:

1. prevenire, inclusiv copii de siguranță adecvate, care au protectoare de supratensiune și generatoare
2. detectarea, un produs secundar de inspecții de rutină, care pot descoperi noi (potențiale) amenințări
3. corecţie

Acesta din urmă poate include asigurarea polițelor de asigurare adecvate și organizarea unei sesiuni de brainstorming „lecții învățate”.

Relația cu Planul de continuitate a afacerii

Business Continuity Plan (BCP) este un plan de organizare cuprinzător , care include planul de redresare în caz de dezastru, și este alcătuită din cinci planuri de componente:

• Plan de reluare a afacerilor
• Planul de urgență ocupant
• Planul de continuitate al operațiunilor
• Planul de gestionare a incidentelor
• Planul de recuperare a dezastrelor

Primele trei (reluarea afacerilor, situațiile de urgență pentru ocuparea forței de muncă și continuitatea operațiunilor) nu se referă la infrastructura IT. Planul de gestionare a incidentelor (IMP) se ocupă de infrastructura IT, dar întrucât stabilește structura și procedurile pentru a aborda atacurile cibernetice împotriva sistemelor informatice ale unei organizații, în general nu reprezintă un agent pentru activarea Planului de recuperare a dezastrelor, părăsind Planul de recuperare în caz de catastrofe. ca unică componentă BCP de interes pentru IT.

Beneficii

Ca orice plan de asigurare, există beneficii care pot fi obținute dintr-o planificare adecvată, inclusiv:

• Minimizarea riscului de întârzieri
• Garantarea fiabilității sistemelor de așteptare
• Furnizarea unui standard pentru testarea planului
• Minimizarea luării deciziilor în timpul unui dezastru
• Reducerea obligațiilor legale potențiale
• Reducerea mediului de lucru stresant inutil

Metodologie de planificare și testare

Potrivit lui Geoffrey H. Wold din Jurnalul de recuperare a dezastrelor, întregul proces implicat în elaborarea unui Plan de recuperare a dezastrelor constă din 10 etape:

• Efectuarea unei evaluări a riscurilor : Comitetul de planificare pregătește o analiză a riscurilor și o analiză a impactului asupra afacerilor (BIA) care include o serie de posibile dezastre. Fiecare zonă funcțională a organizației este analizată pentru a determina consecințele potențiale. În mod tradițional, focul a reprezentat cea mai mare amenințare. Un plan detaliat prevede situații „cele mai grave”, cum ar fi distrugerea clădirii principale.
• Stabilirea priorităților pentru procesare și operațiuni : Nevoile critice ale fiecărui departament sunt evaluate și prioritizate. Se pregătesc acorduri scrise pentru alternativele selectate, cu detalii care specifică durata, condițiile de încetare, testarea sistemului , costul , orice proceduri speciale de securitate, procedura de notificare a modificărilor sistemului, orele de funcționare, hardware-ul specific și alte echipamente necesare procesării, cerințele personalului , definirea circumstanțelor care constituie o situație de urgență , procesul de negociere a extinderilor serviciilor, garantarea compatibilității , disponibilității , cerințelor resurselor non-cadru, priorităților și altor probleme contractuale.
• Colectarea de date : Aceasta include diverse liste (listarea pozițiilor de rezervă a angajaților, lista de numere de telefon critice, lista de apeluri principale, lista vânzătorilor principali, lista de verificare a notificărilor), inventare (echipamente de comunicații, documentație, echipamente de birou, formulare, polițe de asigurare , grup de lucru și computer de centru de date hardware, hardware și software pentru microcomputere , furnizare de birou , echipamente pentru locații de stocare în afara amplasamentului, telefoane etc.), registru de distribuție, programe de rezervă / păstrare a fișierelor de date și a fișierelor de date, specificații de locație temporară, orice alte astfel de liste, materiale, inventare și documentație . Formele preformatate sunt adesea folosite pentru a facilita procesul de colectare a datelor.
• Organizarea și documentarea unui plan scris
• Dezvoltarea criteriilor și procedurilor de testare: motivele pentru testare includ
  • Determinarea fezabilității și compatibilității facilităților și procedurilor de rezervă.
  • Identificarea zonelor din plan care necesită modificări.
  • Asigurarea instruirii managerilor și membrilor echipei.
  • Demonstrarea capacității organizației de a se recupera.
  • Oferirea motivației pentru menținerea și actualizarea planului de recuperare a dezastrelor.
• Testarea planului : O „ execuție ” inițială a planului este realizată prin efectuarea unui test structurat. Trebuie efectuată o probă de testare reală. Problemele sunt corectate.

Testarea inițială poate fi planificată în secțiuni și după orele normale de lucru pentru a minimiza perturbările. Testele ulterioare apar în timpul programului normal de lucru.

Tipurile de teste includ: teste de verificare, teste de simulare, teste paralele și teste de întrerupere completă.

Caveats / controverse

Din cauza costurilor ridicate, diverse planuri nu sunt lipsite de critici. Dell a identificat cinci organizații „greșeli comune” adesea făcute în legătură cu planificarea BCP / DR:

• Lipsa cumpărării : Când conducerea executivă consideră că planificarea DR este „doar un alt foraj de cutremur fals” sau directorii generali nu reușesc să facă planificarea și pregătirea DR o prioritate
• RTO-uri incomplete și RPO-uri : Eșecul de a include fiecare proces important de afaceri sau un bloc de date. Ondulările pot extinde impactul unui dezastru. Este posibil ca salariile să nu fie inițial critice pentru misiune, dar lăsate singure câteva zile, acestea pot deveni mai importante decât oricare dintre problemele dvs. inițiale.
• Miopia sistemelor : Un al treilea punct de eșec implică concentrarea numai pe DR, fără a lua în considerare nevoile mai mari de continuitate a afacerii. Spațiul de birou corporativ pierdut în urma unui dezastru poate duce la o adunare instantanee de telelucrători care, la rândul lor, pot supraîncărca peste noapte VPN- ul unei companii, supraîncărcați personalul de asistență IT la un moment dat și pot cauza blocaje grave și monopoluri cu PBX-ul dial-in sistem.
• Securitate laxă : când există un dezastru, datele unei organizații și procesele de afaceri devin vulnerabile. Ca atare, securitatea poate fi mai importantă decât viteza brută implicată într-un RTO al planului de recuperare a dezastrelor. Cea mai critică analiză devine apoi securizarea noilor conducte de date: de la noile VPN-uri la conexiunea de la servicii de rezervă din afara locului.
  • În catastrofe, planificarea criminalisticii post-mortem
  • Blocarea sau ștergerea de la distanță a dispozitivelor portabile pierdute

Decizii și strategii

• Desemnarea site-ului : site fierbinte vs. site rece. Un site fierbinte este complet echipat pentru a relua operațiunile, în timp ce un site rece nu are această capacitate. Un site cald are capacitatea de a relua unele, dar nu toate operațiunile.

  Este necesară o analiză cost-beneficiu .

  • Testele și încercările ocazionale verifică viabilitatea și eficacitatea planului. Un auditor analizează probabilitatea ca operațiunile organizației să poată fi susținute la nivelul care se presupune în plan și capacitatea entității de a stabili efectiv operațiuni pe site.
  • Auditorul poate verifica acest lucru prin documentație fără hârtie și fără hârtie și prin observație fizică reală. Securitatea sitului de stocare este , de asemenea , confirmată.
• Backup de date : Un audit al proceselor de backup determină dacă (a) sunt eficiente și (b) dacă sunt efectiv implementate de personalul implicat.

  Planul de recuperare a dezastrelor include, de asemenea, informații despre modul de recuperare a datelor care nu au fost copiate. Sunt instituite controale și protecții pentru a se asigura că datele nu sunt deteriorate, modificate sau distruse în timpul acestui proces.

• Burghiu : simulările și repeti efectuate periodic pentru a determina cât de eficient este planul și pentru a stabili ce modificări ar putea fi necesare. Principala preocupare a auditorului aici este verificarea faptului că aceste exerciții sunt efectuate în mod corespunzător și că sunt abordate problemele descoperite în timpul acestor exerciții.
• Backup-ul personalului-cheie - inclusiv instruire periodică și cross-training .

Alte considerente

Probleme de asigurare

Auditorul determină caracterul adecvat al asigurării companiei (în special asigurarea de proprietate și victime ) printr-o revizuire a polițelor de asigurare a companiei și a altor cercetări. Printre elementele pe care auditorul trebuie să le verifice se numără: domeniul de aplicare al poliței (inclusiv orice excluderi declarate), faptul că valoarea acoperirii este suficientă pentru a acoperi nevoile organizației și că politica este actuală și în vigoare. Auditorul constată, de asemenea, printr-o revizuire a ratingurilor atribuite de agențiile de rating independente, că compania de asigurări sau companiile care asigură acoperirea au viabilitatea financiară pentru a acoperi pierderile în caz de dezastru.

Planurile de DR eficiente țin cont de întinderea responsabilităților unei companii față de alte entități și de capacitatea acesteia de a îndeplini acele angajamente, în ciuda unui dezastru major. Un bun audit al DR va include o revizuire a AM și contractelor existente pentru a se asigura că responsabilitatea legală a organizației pentru lipsa de performanță în caz de dezastru sau orice altă circumstanță neobișnuită este redusă la minimum. De asemenea, sunt prezentate acordurile referitoare la stabilirea sprijinului și asistența la recuperarea entității. Tehnicile utilizate pentru evaluarea acestei zone includ o examinare a rezonabilității planului, determinarea dacă planul ține cont sau nu de toți factorii și verificarea rezonabilității contractelor și acordurilor prin documentație și cercetare externă.

Probleme de comunicare

Auditorul trebuie să verifice dacă planificarea se asigură că atât managementul, cât și echipa de recuperare au un hardware de comunicare eficient , informații de contact atât pentru comunicare internă, cât și pentru probleme externe, precum partenerii de afaceri și clienții-cheie.

Tehnicile de audit includ

• testarea procedurilor, intervievarea angajaților, comparația cu planurile altei companii și cu standardele industriei,
• examinarea manualelor companiei și a altor proceduri scrise.
• observație directă că numerele de telefon de urgență sunt listate și ușor accesibile în caz de dezastru.

Proceduri de urgență

Procedurile de susținere a personalului în timpul efortului de recuperare a dezastrelor sunt incluse în orice plan bun de recuperare a dezastrelor. Procedurile de stocare a alimentelor și a apei, capacitățile de administrare a CPR / primul ajutor și tratarea situațiilor de urgență familială sunt clar scrise și testate. În general, acest lucru poate fi realizat de către companie prin programe bune de formare și o definiție clară a responsabilităților de serviciu. O revizuire a capacității de pregătire a unui plan include adesea sarcini precum întrebări de personal, observație fizică directă și examinarea registrelor de pregătire și orice certificări.

Probleme de mediu

Auditorul trebuie să examineze procedurile care iau în considerare posibilitatea de avarie a energiei electrice sau alte situații care nu sunt de natură IT.

• Lanterne și lumânări pot fi necesare.
• Proceduri de siguranță în caz de scurgeri de gaze, incendii sau alte astfel de fenomene

Vezi si

• Schema de rotație de rezervă
• Auditul tehnologiei informației
• Comparație de software de rezervă
• Comparație de servicii de backup online
• Vulnerabilitate (calcul)

Referințe

• Messier, Jr., WF (2011). Servicii de audit și asigurare: o abordare sistematică (ediția a VIII-a). New York: McGraw-Hill / Irwin. ISBN 9780077520151.
• Gallegos, F.; Senft, S.; Davis, AL (2012). Controlul și auditul tehnologiei informației (ediția a 4-a). Boca Raton, FL: Publicații Auerbach. ISBN 9781439893203.