Auditoría por riesgos de la gestión de la continuidad de negocio para el Consejo de Transporte Público

Abstract

El presente estudio de auditoría evalúa la razonabilidad de la Gestión de la Continuidad del Negocio de acuerdo con las políticas y mejores prácticas aplicables para asegurar la disponibilidad de la información en el Consejo de Transporte Público. Los resultados del análisis efectuado, se realizan basados en el programa de aseguramiento de la auditoría para la Continuidad propuesto por ISACA, bajo el Marco de Control COBIT 4.1 Producto del presente estudio se determinaron debilidades de control por parte de la institución en las siguientes áreas: • El Consejo de Transporte Público carece de un Gobierno de TI • La Comisión formalmente establecida para Asesoría en materia de Tecnologías de la Información no contempla la Gestión de la Continuidad del Negocio • El Consejo de Transporte Público carece de políticas de Continuidad de Negocio formalmente establecidas, así como de un Plan de Continuidad de Negocio • Falta de programación de capacitación en temas de Continuidad de Negocio para el personal institucional • Ausencia de establecimiento formal de responsabilidades de respuesta a incidentes. • Carencia de un análisis de impacto empresarial (BIA) sobre Continuidad de Negocio • La gestión de la Continuidad del Negocio no es un componente integral del programa de Gestión Institucional de Riesgos • El Consejo carece de un Plan de Continuidad de Negocio debidamente documentado • El Consejo carece de un Plan de Recuperación Institucional debidamente documentado y disponible durante una emergencia. • El Consejo carece de una fuente alternativa de energía para asegurar la disponibilidad de los servicios y la información. • La institución carece de un centro de datos contingente, los respaldos de información se custodian en las mismas instalaciones del cuarto de servidores. • Equipo para atención de emergencias con el que cuenta el Consejo es insuficiente • Se concluye que producto de estas debilidades el Consejo se expone a riesgos como la pérdida de información y disponibilidad de servicios de las áreas críticas del negocio. • Se brindan recomendaciones a la Administración del Consejo de Transporte Público, con actividades específicas, con el fin de mitigar los riesgos que afectan el logro de los objetivos del negocio.