Tips para prepararse para una auditoría de recuperación ante desastres de red
Las empresas pueden auditar sus planes de recuperación de desastres para la red para garantizar una protección y preparación completas. Tenga en cuenta factores como la documentación, el apoyo de la dirección y el tipo de auditoría.
La auditoría de recuperación ante desastres, o RD, de la red proporciona un examen objetivo de los controles que gestionan el rendimiento de la red, y evalúa si los resultados son coherentes con los objetivos de control.
Las operaciones de red, incluyendo el acceso local, la WAN, las redes inalámbricas y el acceso a internet, son de misión crítica. Como tales, las empresas deben revisarlas periódicamente para asegurarse de que siguen las políticas y los procedimientos operativos, probar los procedimientos de recuperación y restauración y documentar cuidadosamente los resultados de cada actividad.
Este artículo ofrece consejos que las empresas pueden seguir para preparar una auditoría de las actividades de RD de las redes de voz y datos. Estos consejos ayudan a garantizar que las operaciones de red estén protegidas de eventos potencialmente perturbadores, como cortes de energía, cortes de red y cortes de equipos. Los equipos de red también deben auditar los controles de integridad y recuperabilidad de la red.
Son posibles tres tipos de auditorías siguientes
- primer tipo, que es realizada por la auditoría interna;
- segundo tipo, en la que un cliente u organización autorizada realiza una auditoría externa de la RD de la red; o
- tercer tipo, que es una auditoría externa totalmente independiente.
Asegúrese de que el auditor interno o la empresa de auditoría externa están familiarizados con las cuestiones relacionadas con la RD de la red, incluyendo lo siguiente:
- planes de RD de la red;
- pruebas de RD de la red;
- políticas y procedimientos de RD de la red
- acceso a la red;
- diversidad de la red;
- configuración de la red;
- enrutamiento de la red;
- copia de seguridad de la red;
- seguridad de la red;
- entorno de equipos de red;
- servicios de red gestionados;
- servicios de acceso de intercambio local;
- servicios WAN;
- acceso a internet;
- servicios de red basados en la nube; y
- disponibilidad de dispositivos, como routers y conmutadores, para sustituir unidades dañadas.
Importancia de una auditoría de RD de la red
Las operaciones de red son fundamentales para las organizaciones de cualquier tipo y tamaño y deben gestionarse de acuerdo con las políticas y procedimientos establecidos. No realizar revisiones periódicas de los planes y procedimientos de RD de la red –así como de las pruebas de esos recursos– puede aumentar el riesgo de una interrupción de la red que puede ser difícil de recuperar a tiempo.
Las auditorías periódicas de las actividades del programa de RD de la red garantizan que la red funcione como debería y ayudan a identificar y corregir rápidamente las interrupciones.
Dos elementos importantes para una auditoría
La preparación y la documentación son los dos elementos más importantes a la hora de preparar una auditoría de RD de la red. Tanto los documentos electrónicos como los impresos son esenciales como prueba, por lo que los equipos deben asegurarse de identificar esos elementos y prepararlos para la auditoría. También es esencial seleccionar y preparar un equipo que trabaje con los auditores.
El equipo de auditoría interna debe entender lo que ocurre durante la auditoría, para poder responder a las preguntas de los auditores con precisión. El apoyo de la dirección de TI también es esencial, ya que los auditores pueden querer entrevistar a los líderes de TI junto con los miembros del equipo de gestión de la red. También es importante que los equipos tengan la capacidad de demostrar cómo funcionan las actividades de RD de la red de la organización, ya que los auditores pueden desear ver cómo se realiza una recuperación de la red.
Mejores prácticas para la preparación de la auditoría de RD de la red
Como se ha mencionado anteriormente, la preparación y la documentación son elementos clave para la auditoría. La siguiente es una lista de comprobación de los elementos de la auditoría:
- Copias actuales de toda la documentación relacionada con las operaciones de la red y la RD, incluidos los planes de RD de la red, las políticas y procedimientos de RD, las evaluaciones recientes de RD, las funciones y responsabilidades de los equipos de RD de la red, los resultados de las pruebas de RD de la red, los documentos que describen los problemas anteriores de recuperación de la red y cómo se resolvieron, los calendarios de las pruebas de RD, las actividades de formación en materia de RD, los informes sobre las pruebas de RD, la evidencia de las revisiones anteriores de la gestión y las auditorías de RD de la red, y la evidencia de las actividades de mejora de la red en curso.
- Evidencia de que el programa de RD de la red forma parte de un programa integral de RD de TI.
- Evidencia de las pruebas de RD de la red programadas, completadas y documentadas como parte de un programa global de RD de TI.
- Evidencia de evaluaciones periódicas de RD de la red, actualizaciones del plan de RD y actualizaciones de las políticas y procedimientos de RD de la red.
- Evidencia que demuestra el apoyo de la alta dirección al programa de RD de la red, incluyendo un patrocinador o defensor de la alta dirección, un presupuesto y personal dedicado a las actividades de RD de la red.
- Evidencia de que las actividades de RD de la red se consideran una actividad estratégica para la empresa.
Aunque esta lista de actividades previas a la auditoría puede no estar lista antes de que comience la auditoría, hay que estar preparado para confirmar que las conclusiones y recomendaciones del informe de auditoría se abordarán en el momento oportuno.
¿Están preparados los auditores?
Dado que la gestión de las operaciones de red es una función diaria de TI, confirme que los auditores –ya sean internos o externos– están familiarizados con los problemas asociados a las operaciones de red, así como con las actividades de RD de la red. También es importante confirmar que han realizado previamente auditorías del programa de RD de la red.
En el caso de las auditorías de primera parte, asegúrese de que los auditores disponen de material de base sobre las operaciones de la red y las actividades de RD para que puedan prepararse en consecuencia. Si se recurre a un auditor externo, confirme que la posible empresa auditora entiende las actividades de RD de la red.
Controles de RD de la red que deben auditarse
La siguiente lista de comprobación proporciona una lista de controles que los auditores pueden revisar. Utilice la lista para prepararse para las posibles solicitudes de auditoría, lo que facilita la finalización y la entrega del informe de auditoría a tiempo.
✔ | Controles de auditoría de RD de la red | Ejemplos de evidencia de auditoría |
Plan de RD de la red |
Plan documentado que incluye las actividades de respuesta a incidentes, la identificación de los equipos de RD de la red, los procedimientos a seguir en caso de interrupción de la red y las listas de contactos internos y externos. |
|
Política del programa de RD de la red |
Política documentada que especifica los tipos de interrupciones que deben abordarse y cómo la organización pretende hacerles frente |
|
Procedimientos del programa de RD de la red y documentación pertinente, formularios, etc. |
Procedimientos documentados, formularios, plantillas, listas de comprobación |
|
Horarios operativos de la red (por ejemplo, copias de seguridad del software, redireccionamiento de la red y actividades de recuperación) |
Copias impresas o capturas de pantalla de los horarios |
|
Elementos operativos de la red |
Capturas de pantalla de los controles operativos de la red, por ejemplo, controles de acceso, métodos de enrutamiento normal, planes de enrutamiento alternativo de emergencia, planes de entorno, gestión de cambios, elementos inalámbricos |
|
Métricas de fiabilidad del rendimiento de la red |
Capturas de pantalla de las métricas de fiabilidad de la red, por ejemplo, tiempo de actividad, rendimiento, MTBF/MTTR*. |
|
Planes de pruebas de RD de la red y resultados documentados |
Copias de planes recientes de pruebas de RD de la red, datos de pruebas reales e informes posteriores a las acciones |
|
Métricas de la frecuencia de las pruebas y la evaluación de la RD de la red |
Capturas de pantalla de los horarios de pruebas y evaluación de la RD de la red que muestren la medición de la frecuencia (por ejemplo, mensual, trimestral) para cada actividad |
|
Sistemas de RD de la red, software, instalaciones de acceso local, instalaciones de la WAN, instalaciones de internet, servicios gestionados, servicios basados en la nube |
Documentación operativa y capturas de pantalla pertinentes de los recursos utilizados en las actividades de RD de la red |
|
Recursos operativos de la red, locales (por ejemplo, dispositivos de red del centro de datos, servicios de red de intercambio local) |
Documentación operativa y capturas de pantalla relevantes para los recursos de la red local |
|
Recursos operativos de la red, externos (por ejemplo, ISP, proveedores de servicios WAN, servicios en la nube, proveedores inalámbricos, servicios de red gestionados) |
Documentación operativa y capturas de pantalla relevantes para los recursos de red externos |
|
Seguridad operativa de la red: puede incluir defensas perimetrales como firewall, sistemas de detección y prevención de intrusiones, aplicaciones de supervisión de la seguridad de la red interna y acceso físico al centro de datos o al centro de operaciones de la red |
Documentación operativa y capturas de pantalla relevantes para las medidas de seguridad de la red |
|
Equipo de RD de la red que pueda utilizarse en caso de emergencia |
Pruebas de un suministro de dispositivos relacionados con la red, por ejemplo, routers, conmutadores, placas de circuitos, servidores, fuentes de alimentación, componentes inalámbricos, cableado, que estén disponibles para su uso en caso de emergencia |
* Tiempo medio entre fallos (MTBF, por sus siglas en inglés), tiempo medio de reparación (MTTR, por sus siglas en inglés)
Descargue la lista de comprobación de la auditoría de recuperación de desastres de la red aquí.
Revisión del informe de auditoría de RD de la red
Una vez que los equipos han completado y entregado el informe de auditoría de RD de la red, deben revisar las conclusiones y recomendaciones. Anote los plazos propuestos para entregar las respuestas a los auditores. Informe a la alta dirección de TI sobre el informe tan pronto como sea posible y esté preparado para abordar cualquier problema grave de rendimiento u operativo identificado en el informe.
El equipo de auditoría de RD de la red debe preparar una respuesta al informe de auditoría lo antes posible, con las acciones y fechas propuestas para abordar las recomendaciones de la auditoría.
Resumen
Las experiencias de auditoría pueden ser informativas y esclarecedoras si se preparan adecuadamente, se comprende el proceso de auditoría y se aportan pruebas que respalden las actividades de recuperación de desastres de la red. Además, las auditorías pueden ayudar a los equipos a establecer operaciones de red completas y resistentes y a planificar la recuperación de desastres.
Investigue más sobre DR y BC
-
Cómo diseñar una arquitectura para la seguridad inalámbrica empresarial
-
Veeam: La protección de datos debe incorporarse en la estrategia de resiliencia
-
Cómo desarrollar una estrategia de protección contra ransomware con respaldo en la nube
-
Lista de verificación de seguridad de la red tras una violación de datos