Transcripción

1 Content Conteúdo Contenido Business continuity between attacks A continuidade do negócio frente a ataques La continuidad del negocio ante ataques Efficient outlines for Business Continuity Management Esquemas eficientes de Gerenciamento da Continuidade do Negócio Esquemas eficientes de Gerencia de Continuidad del Negocio About Gemelo Storage Solutions Business continuity between attacks After a year of the attacks on the World Trade Center and the Pentagon, a main concern is back into the mind of companies: the protection of the information, one of their most important assets. On September 11, 2001, in only two hours, global corporations witnessed the disappearance of a great part of their human capital, their information and their history. Maybe due to previous attacks inside and outside of the U.S.A., some companies with operations in the WTC were investing in data storage and contingency planning. This permitted them to recover data and records destroyed in their offices in the Twin Towers. However, according to the data provided by the American insurance industry to the White House, the amount of loss of physical actives and information reaches 50 billion dollars. However, although in Latin America the North American tragedy affected the conscience of IT managers, the truth is that the improvement in regard to the implementation of architecture for the backup of the information and the data protection in cases of significant contingencies is not very visible. Many companies are developing projects for data backup, but these projects do not necessarily include a real analysis of the business continuity in case of an eventuality. Furthermore, in many cases the backup does not have a contingency plan for the recovery of this information whenever it is needed. 1

2 In some cases, this occurs because organizations think that attacks like this one would never happen in their countries, others consider that they are immune to problems, and others simply have no budget for such investments. The projects in data backup area are mainly focused in solving problems that companies have daily instead of increasing the availability of the information. An example of this can be seen in the lack of prevision of data backup of PCs, laptops and workstations of the company. Although it is well known that most of the information of the company is contained in these computers, this data backup is frequently ignored. The same happens with the projects of data storage. Optimal data storage not only represents savings of the company resources but it also is essential for backup projects to permit the availability of the information at any time. After all, it is of no use to consider backups on-site, remote backups and contingency sites if the primary storage of the information is not made in an optimal and efficient way. Even though statistics show that more than 60% of Latin American companies are more interested in the storage matter, the investments in this area have grown only 8% this year. Therefore, it is obvious that companies are leaving the decision making out which is critical for a healthy growth of business. It has been well demonstrated that in the new business models the ability to access the appropriate information at the right moment is essential. Competitivity makes it necessary for companies to be more optimal, efficient, and cost-effective. Although to be prepared for critical and extreme situations such as the terrorist attacks may be out of proportion, any company can be subjected to human errors, sabotages, loss of energy, climate factors such as floods, electric shocks, landslides, among others, and public manifestations. Latin American countries are more prone to this kind of events that can lead to a discontinuity in the operations of the company, loss of information and even inability to access the information located in the company. 2

3 Efficient outlines for Business Continuity Management Nowadays, when we talk about business contingencies and emergencies, we are not talking about simple and disjointed mechanisms that mitigate the negative consequences due to a lack of punctual procedures and controls that allow operative continuity to the organization, at least not from a computational point of view. The concept, beyond the traditional perspective of continuity, contingencies and disaster recovery of the companies, is enclosed in the title Business Continuity Management (BCM). This concept has changed the way that companies and organizations have traditionally faced decisive and fortuitous situations arisen from lack of continuity of internal (and external) computer services, and even from adverse events consequences of exogenous elements to the company, such as social disorders, catastrophes, etc. The main goal of the BCM focus is to highlight the importance of being able to have full accessibility (24x 7) to the systemic services that represent the heart of the organization. If we are clear about the importance of the information systems, the hardware, the operative systems, networks, communications, internet, and other computational services that our company uses to run all business processes, and if we have the fortune of having these elements perfectly synchronized with the business processes and with the people (roles and responsibilities) and also this operative symbiosis and synergy fully responds to the needs of fulfilling the mission, vision and values established in the business strategy planning, then we will have understood that establishing a function that designs, develops, implements and keeps the critical factors of success of business continuity represents a tangible organizational asset that will benefit the productivity, profitability and the functioning of the business. The BCM is represented by a key business function that covers a critical route and levels of workflow, which must allow the achievement of the planned objectives. Such function must take into account, in a clear, well-defined and established way, all those elements that are considered relevant from a cost-benefit and technical-functional feasibility point of view. At the same time, following the international guidelines in regard to better practices and better controls that guarantee the highest levels of computational-operative continuity and transparency to the company, regardless if the contingency is due to simple computational failures of the system, database, operative software, communicational links, intranet, extranet, operative procedures or to fortuitous external situations out of the control of the company. The function of the BCM, well defined and implemented, requires the participation of all the responsible parts in the definition, development, implementation and maintenance of all the procedures and controls in all the stages of its life cycle. Such stages are: Assessment of Risks and Controls The stage of the BCM that looks for the accomplishment of a technical-functional diagnosis of all the computational elements of the company results in a Risks Map (RM) that identifies the areas of higher risks, from a computational point of view, that the organization faces which defines the priorities and possible budgets for the corresponding solution. Since the business processes may change or the organization may readjust its mission, vision and values and, therefore, some computational infrastructure may undergo some variations, this stage must always be under restructuring so there is always a clear view of the computational risks that may represent a threat to the continuity and survival of the company. Business Impact Analysis (BIA) This stage of the BCM, which relies on the results of the former stage, seeks for the quantification of the computational risk aspects from a time point of view (downtimes and computational revenue terms), costs (loss of income, loss of clients, etc.) and intangible (reputation and image). How long can my company be without the accounting system until possible alternatives are found for the reconstruction of financial statements? Which are the levels of tolerance and acceptance 3

4 of not having the communicational links with the headquarters abroad? What are the acceptable levels of downtime of the operative system of the mainframe? discontinuities of the company and a reliable quality of the products and services offered by the company. All these questions can be answered with the procedures and controls established in this stage and can be carried out by the responsible team assigned by the company. Assessment of Continuity Strategies Based on the results of the former two stages, market better alternatives that allow the operative continuity of the company can be easily evaluated. At this moment, it is possible to identify the products and market solutions or solutions developed in the company. If there were a risk and high impact related to the processes of the company data storage and backup, the solutions of storage service providers as Gemelo Storage Solutions would represent the ideal approach at low costs with the guarantee that our companies need. Additionally, multiple link providers, for example, could serve as contingent solutions to the primary communicational plan. Business Continuity Plan Development and Implementation This stage consists on the design, development, testing and application of all the procedures and controls for the mitigation of negative effects resulting from the lack of technology that the company continuously requires. In this stage, the following elements are mainly developed: procedures, controls, standards, contingency equipment, definition of required resources, testing and drills. It is necessary to understand the importance of recovery and contingency plan tests and drills so as to guarantee that it is always updated in relation to technological changes, tendencies and better controls. Post-implementation This stage consists of the constant evaluation and updating of all the elements included in the operation of the BCM by the contingency team, so all the expectations of the operativecomputational continuity of the company can be fulfilled. This constant evaluation means minimizing costs, reduction or mitigation of risks related to operation-computational In the so called New Economy of the 21st Century, where we can see the birth of new and sophisticated elements of business control (Risks Management, Revenue Assurance concepts, the role of the Chief Risk Officer etc), the concept of Business Continuity Management comes into the world as a new and revolutionary approach that strengthens the traditional protection plans of the computer actives and contingency plans, disaster recovery and continuity, which had been barely implemented by the companies and whose effectiveness up to this moment had been deficient. Companies concerned with their human resources, clients and associates in general are the ones who are taking advantage of the BCM approach in order to guarantee the fulfillment of their business mission, vision and values. Douglas Chemaly Deloitte & Touche partner, Venezuela dchemaly@dttve.com 4

5 A continuidade do negócio frente a ataques No mês passado completou-se o primeiro ano dos ataques terroristas contra o World Trade Center e o Pentágono, voltando à tona um assunto latente: a proteção da informação, ativo vital nas empresas. Em 11 de setembro de 2001, em duas horas, corporações globais viram desaparecer grande parte de seu capital humano, de suas informações e de sua história. Talvez por conta de ataques anteriores, tanto dentro como fora dos Estados Unidos, algumas empresas com operações no WTC vinham investindo em armazenamento e contingência. Graças a isto, muitas delas conseguiram recuperar os registros e os dados destruídos nos escritórios das torres gêmeas. Os projetos na área de backup de dados estão mais concentrados em resolver os problemas que as empresas têm no dia-a-dia, e não em ampliar a disponibilidade da informação. Um exemplo é a falta de previsão do backup dos dados armazenados nos PC's, portáteis e estações de trabalho da empresa. Este assunto é freqüentemente negligenciado, apesar de sabermos que a maior parte da informação da empresa se concentra nestas ferramentas de trabalho. Isso também ocorre com os projetos de armazenamento de dados. O armazenamento eficaz da informação, além de propiciar economia de recursos na empresa, é essencial para que os projetos de backup permitam a disponibilidade da informação. Afinal, de que vale pensar em backups no site, backups remotos e sites de contingência, se o armazenamento primário da informação não é realizado de forma eficiente? No entanto, o volume de perdas de ativos físicos e de informações alcança os 50 bilhões de dólares, segundo dados fornecidos pela indústria norte-americana de seguros à Casa Branca. Com a lição norte-americana, na América Latina o impacto da tragédia aumentou a consciência dos gerentes de TI corporativos, mas na verdade foi pequeno o avanço visível em matéria de implementação de uma arquitetura para a proteção da informação e dos dados, frente a uma contingência de proporções críticas. Apesar de muitas empresas possuírem projetos de backup de informação, estes projetos não incluem necessariamente uma análise real da continuidade do negócio, caso ocorra uma eventualidade. Mais ainda, em muitos casos, os backups não são acompanhados de um plano de contingência para a recuperação desta informação. Em alguns casos, isto ocorre porque as organizações pensam que ataques de tal magnitude não podem ocorrer em seus países, outras porque crêem que são imunes aos problemas, e outras porque simplesmente não têm orçamento para tais investimentos. 5

6 Apesar das estatísticas mostrarem que mais de 60% das corporações na América Latina têm manifestado interesse no assunto armazenamento, os investimentos nesta área cresceram neste ano somente 8%, até o mês atual. Isto significa que as companhias estão deixando de lado a tomada de decisões, que são críticas para o crescimento sadio de seus negócios. Já foi demonstrado nas crises que contar com a informação adequada no momento certo é essencial no novo modelo de negócios, no qual cada vez mais a competitividade nos obriga a sermos mais eficazes, eficientes e com custos mais baixos. As empresas não estão sujeitas apenas a situações tão críticas e extremas, como os ataques terroristas. Erros humanos, sabotagem, cortes de energia, problemas climáticos como inundações, descargas elétricas e, eventualmente, manifestações públicas, são problemas com maior probabilidade de ocorrência na América Latina. E podem levar à não-continuidade nas operações da empresa, perda de dados, e até incapacidade de acessar as informações localizadas na organização. Alguma destas situações lhe parece familiar? Esquemas eficientes de Gerenciamento da Continuidade do Negócio Hoje em dia, quando se fala de contingências e emergências empresariais, não se trata somente de simples e desarticulados mecanismos que atenuam as ocorrências negativas. Estas ocorrências são derivadas da ausência de procedimentos e controles específicos, que permitam dar continuidade operacional à organização, ao menos do ponto de vista computacional. O conceito, além do tradicional enfoque de continuidade, contingências e recuperação por desastres das empresas, está inserido dentro do macro título de Business Continuity Management (BCM). Este conceito veio revolucionar a forma como as empresas e organizações têm, tradicionalmente, enfrentado as situações conjunturais e fortuitas emanadas da falta prolongada dos serviços de computação internos (e externos). Inclusive, de situações adversas provocadas por elementos fora da organização (ex: desordens sociais, revoluções, catástrofes, etc.). O enfoque do BCM procura dar a magnitude e importância ao fato de contar a todo o momento (24 x 7) com os serviços dos sistemas que dão vida à organização. Devemos ter claro quão importantes são os sistemas de informação, o hardware, os sistemas operacionais, redes, comunicações, Internet e demais elementos de TI que nossa empresa utiliza para dar vida aos processos de negócio. Estes elementos devem estar em perfeita sintonia com os processos de negócio e com os recursos humanos (papéis e responsabilidades). Esta simbiose e sinergia operacional precisa responder plenamente às necessidades de cumprir com nossa missão, visão e objetivos traçados no plano estratégico do negócio. Assim, teremos compreendido que estabelecer uma função que desenhe, desenvolva, implante e mantenha os fatores críticos de sucesso do negócio representa um ativo tangível organizacional que repercutirá em benefício da produtividade, rentabilidade e do andamento dos negócios. 6

7 O BCM está representado por uma função chave de negócio que cobre um caminho crítico e níveis de workflow, os quais devem permitir atingir os objetivos traçados. Tal função deve contemplar, de forma bem clara, definida e implantada, todos aqueles elementos pertinentes do ponto de vista custobenefício e possibilidade técnica-funcional. Eles devem seguir diretrizes internacionais em relação a melhores práticas e controles e que comprovem ser os mecanismos mais idôneos, a partir de todas as perspectivas anteriormente citadas. Além disso, devem garantir à empresa o maior nível de transparência e continuidade computacional-operativa, independentemente se a contingência se trata de uma simples falha de sistemas, bases de dados, software operacional, links de comunicação, intranet, extranet, procedimentos operativos ou, ainda, de situações fortuitas totalmente externas e fora do controle da organização. A função de BCM, bem definida e implantada, requer a participação de todas as partes responsáveis na definição, desenvolvimento, implantação e manutenção de todos os procedimentos e controles nas etapas de seu ciclo de vida. Tais etapas são listadas a seguir: Avaliação de Riscos e Controles Etapa do BCM que busca a realização de um diagnóstico técnico-funcional de todos os elementos computacionais da empresa, que tem como resultado um Mapa de Riscos (MR). Ele identifica as áreas de maior risco, a partir do ponto de vista computacional que a organização enfrenta e sobre as quais se estabelecem as prioridades e orçamentos para sua respectiva solução. Na medida em que os processos de negócio vão sofrendo mudanças, e que a organização reorienta sua missão, visão, objetivos, ou que empreenda mudanças em sua infra-estrutura computacional, esta etapa deve ser refeita periodicamente, de maneira que se tenha sempre uma visão clara de como os riscos computacionais representam ameaças à continuidade e sobrevivência da empresa. Business Impact Analysis (BIA) Esta etapa do BCM, a qual versa seu objetivo nos resultados da etapa anterior, busca a quantificação dos aspectos de riscos computacionais a partir do ponto de vista de tempo (ex: downtimes e lapsos de recuperação computacional), custos (ex: perda de receita, perda de clientes, etc.), e intangíveis (ex: reputação e imagem). Quanto tempo minha empresa pode permanecer sem o sistema contábil, até que se encontrem alternativas viáveis para a reparação dos dados financeiros? Quais são os níveis de tolerância e aceitação de não contar com os links de comunicação com minha matriz no exterior? Quais são os níveis aceitáveis de downtime do sistema operacional do mainframe? Todas estas perguntas são plenamente respondidas com os procedimentos e controles estabelecidos nesta etapa e executados pelos responsáveis devidamente identificados pela organização. Avaliação de Estratégias de Continuidade Com base nos resultados das duas etapas anteriores, pode-se facilmente avaliar as melhores alternativas do mercado que permitam a continuidade operacional da organização. Neste momento permite-se a idônea identificação dos produtos e soluções do mercado, ou mesmo de soluções desenvolvidas em casa. Se existe um risco e alto impacto associado aos processos de armazenamento e backups dos dados empresariais, as soluções da Gemelo Storage Solutions, associadas às soluções de hosting de armazenamento dos provedores destes serviços, representam esquemas ideais, a baixos custos e com a garantia que as organizações necessitam. Adicionalmente, os múltiplos provedores de links podem servir de soluções contingenciais ao esquema primário de comunicações, para citar um exemplo particular. Desenvolvimento e Implantação do Business Continuity Plan (BCP) Esta etapa compreende o desenho, desenvolvimento, teste e promoção à produção de todos os procedimentos e controles que buscam diminuir as incidências negativas de não contar com a tecnologia que a organização requer de forma contínua. 7

8 Nesta etapa são desenvolvidos os seguintes elementos: procedimentos, controles, normas, equipamentos de contingências, definição de recursos requeridos, testes e simulações, principalmente. Cabe ressaltar a importância de submeter o plano de contingências a testes, simulações e recuperação, de maneira a garantir que o mesmo sempre esteja a par das mudanças tecnológicas, tendências e melhores práticas. Pós Implantação Esta etapa compreende a contínua avaliação e correção, por parte do time designado para as contingências, de todos os elementos incluídos dentro da função do BCM, de maneira a garantir as expectativas de continuidade operacional e computacional da empresa sejam cobertas a todo o momento. Os benefícios desta contínua avaliação se traduzem na redução de custos e de riscos, associados a paradas operativas, computacionais e contínua qualidade dos produtos e serviços que oferece à empresa. Nesta denominada "Nova Economia" do século XXI, na qual vemos o surgimento de novos e sofisticados elementos de controle empresarial (como por exemplo: Gerência de Riscos, conceitos de Revenue Assurance, o papel preponderante do Chief Risk Officer (CRO), etc.), nasce o conceito do Business Continuity Management (BCM) com um novo e revolucionário enfoque, que reforça os tradicionais esquemas de proteção dos ativos de computação e planos de contingência, continuidade e recuperação por desastre, que haviam até hoje sido implantados de maneira pífia e com escassa eficácia pelas empresas. As organizações sensíveis a seus recursos humanos, a seus clientes e associados em geral, são as que estão adotando o enfoque do BCM para ajudar a garantir o cumprimento da missão, visão e objetivos empresariais. Douglas Chemaly Sócio da Deloitte & Touche, Venezuela. dchemaly@dttve.com 8

9 La continuidad del negocio ante ataques Cuando el mes pasado se cumplió el primer año de los ataques terroristas contra el World Trade Center y el Pentágono, volvió a la palestra un tema latente: la protección de la información, activo vital en las empresas. El 11 de septiembre de 2001, en dos horas, corporaciones globales vieron desaparecer gran parte de su capital humano, de su información y de su historia. Quizás por cuenta de ataques previos tanto dentro como fuera de los Estados Unidos, algunas empresas con operaciones en el WTC venían invirtiendo en almacenamiento y contingencia. Gracias a eso muchas de ellas lograron recuperar los registros y los datos destruidos en las oficinas de las Torres Gemelas. Sin embargo, el volumen de pérdidas de activos físicos y de información alcanza los 50 mil millones de dólares, según datos suministrados por la industria norteamericana de los seguros a la Casa Blanca. Los proyectos en el área de respaldo de data, están más concentrados en resolver los problemas que las empresas tienen del día a día, más que en ampliar la disponibilidad de la información. Un ejemplo de ello es la falta de previsión del respaldo de la data contenida en las PC, portátiles y estaciones de trabajo de la empresa. Tema frecuentemente dejado de lado a pesar que es bien conocido que la mayor parte de la información de la empresa se encuentra en estas herramientas de trabajo. Igual sucede con los proyectos de almacenamiento de data. El almacenamiento óptimo de la información, además de conllevar a ahorro de recursos en la empresa, es esencial para que los proyectos de respaldo permitan la disponibilidad de la información cuando sea necesaria. A fin de cuentas, de que vale pensar en respaldos en sitio, respaldos remotos y sites de contingencia, si al almacenamiento primario de la información no se realiza de forma óptima y eficiente. Pero a pesar de la lección norteamericana, en Latinoamérica si bien el impacto de la tragedia removió la conciencia de los IT manager en el corporativo, en honor a la verdad es poco el avance visible en materia de implementación de una arquitectura para el resguardo de la información y protección de los datos ante una contingencia de críticas proporciones. Si bien muchas empresas poseen proyectos de respaldo de información, estos proyectos no necesariamente incluyen un análisis real de la continuidad del negocio en caso que ocurra una contingencia. Más áun, en muchos casos los respaldos no están acompañados de un plan de contingencia para la recuperación de esta información cuando sea necesario. En algunas ocasiones esto ocurre porque las organizaciones piensan que ataques de tales magnitudes no pueden ocurrir en sus países, otras porque creen que son inmunes a los problemas, y otras porque simplemente no tienen presupuesto para tales inversiones. 9

10 A pesar que las estadísticas muestran que más de 60% de las corporaciones en Latinoamérica han manifestado su interés en el tema de almacenamiento, las inversiones en esta área han crecido solamente un 8% en lo que va de año. Esto significa que las compañías están dejando de lado la toma de decisiones que son críticas para el sano crecimiento de sus negocios. Ya ha sido demostrado con creces que el poder contar con la información adecuada en el momento correcto es esencial en el nuevo modelo de negocios, donde cada vez más la competitividad obliga a ser más óptimos, eficientes y costo-efectivos. El pensar en situaciones tan críticas y extremas como los ataques terroristas no es necesario. Las empresas están sujetas a errores humanos, sabotajes, cortes de energía, efectos climáticos como inundaciones, descargas eléctricas, deslaves, etc., y saqueos y manifestaciones públicas, hechos con mayor probabilidad de ocurrencia en Latinoamérica, que puedan llevar a discontinuidad en las operaciones de la empresa, pérdida de información, e incluso incapacidad de acceder a la información localizada en la organización. Resulta familiar alguna de estas situaciones?. Esquemas eficientes de Gerencia de Continuidad del Negocio Hoy por hoy cuando hablamos de contingencias y emergencias empresariales, ya no hablamos de simples y desarticulados mecanismos que mitigan las incidencias negativas derivadas de no contar con procedimientos y controles puntuales que permitan darle continuidad operativa a la organización, al menos desde el punto de vista computacional. El concepto, más allá del tradicional enfoque de continuidad, contingencias y recuperación por desastres de las empresas, está enmarcado dentro del macro título de Business Continuity Management (BCM). Este concepto viene a revolucionar la forma de cómo las empresas y organizaciones han tradicionalmente enfrentado las situaciones coyunturales y fortuitas emanadas de la discontinuación prolongada de los servicios de computación internos (y externos), e inclusive, de situaciones adversas provocadas por elementos exógenos a la organización (v.g.: desórdenes sociales, motines, catástrofes, etc.). El enfoque del BCM intenta darle la majestuosidad e importancia que reviste el contar en todo momento (24 x 7) con los servicios sistémicos que dan vida a la organización. Si tenemos claro cuan importante son los sistemas de información, el hardware, sistemas operativos, redes, comunicaciones, internet, y demás elementos computacionales que nuestra empresa utiliza para darle vida a los procesos de negocio, y si además tenemos la fortuna que dichos elementos estén en perfecta alineación sincrónica con los procesos de negocio, y con la gente (roles y responsabilidades), y que además esta simbiosis y sinergia operativa responda plenamente a las necesidades de cumplir con la misión, visión y objetivos trazados en el plan estratégico del negocio, entonces habremos comprendido que el establecer una función que diseñe, desarrolle, implante y mantenga los factores críticos de éxito de continuidad del negocio representa un activo tangible organizacional que repercutirá en beneficio de la productividad, rentabilidad, y del negocio en marcha. 10

11 El BCM está representado por una función clave de negocio que cubre una ruta crítica y niveles de workflow, los cuales deben permitir el logro de los objetivos trazados. Dicha función debe contemplar, en forma bien clara, definida e implantada, todos aquellos elementos que se consideren pertinentes desde el punto de vista de costo-beneficio y factibilidad técnica-funcional, que a su vez sigan directrices internacionales en cuanto a mejores prácticas y mejores controles, y que comprueben ser los mecanismos más idóneos, desde todas las perspectivas anteriormente citadas, que garanticen a la empresa el mayor nivel de transparencia y continuidad computacional-operativa, independientemente si la contingencia se trata de una simple falla computacional de sistemas, bases de datos, software operativo, enlaces comunicacionales, intranet, extranet, procedimientos operativos, o bien de situaciones fortuitas totalmente exógenas y fuera del control de la organización. La función de BCM, bien definida e implantada, requiere del concurso de todos las partes responsables en la definición, desarrollo, implantación y mantenimiento de todos los procedimientos y controles en las etapas de su ciclo de vida. Dichas etapas se enuncian a continuación: Evaluación de Riesgos y Controles Etapa del BCM que persigue la realización de un diagnóstico técnico-funcional de todos los elementos computacionales de la empresa, y la cual arroja como resultado un Mapa de Riesgos (MR) que identifica las áreas de mayor riesgo, desde el punto de vista computacional, que enfrenta la organización, y sobre las cuales se establecen las prioridades y presupuestos a asignar para su respectiva solución. En la medida que los procesos de negocio vayan experimentando cambios, o que la organización reoriente su misión, visión, objetivos, y que por ende emprenda cambios en su infraestructura computacional, esta etapa debe ser reconducida perennemente en el tiempo de manera de tener siempre una visión clara de cómo los riesgos computacionales presentan amenazas a la continuidad y supervivencia de la empresa. Business Impact Analysis (BIA) Esta etapa del BCM, la cual versa su objetivo en los resultados de la etapa anterior, pretende la cuantificación de los aspectos de riesgos computacionales desde el punto de vista de tiempo (v.g.: downtimes y lapsos de reconstrucción computacional), costos (v.g.: pérdida de ingresos, pérdida de clientes, etc.), e intangibles (v.g.: reputación e imagen). Cuánto tiempo puede mi empresa permanecer sin el sistema contable hasta que se encuentren alternativas viables para la reconstrucción de los estados financieros? Cuáles son los niveles de tolerancia y aceptación del no contar con los enlaces comunicacionales con mi casa matriz en el exterior? Cuáles son los niveles aceptables de downtime del sistema operativo del mainframe? Todas estas preguntas se responden a plenitud con los procedimientos y controles establecidos en esta etapa, y ejecutados por los responsables debidamente identificados por la organización. Evaluación de Estrategias de Continuidad En base a los resultados de las dos etapas anteriores, se pueden fácilmente evaluar las mejores alternativas del mercado que permitan la continuidad operativa de la organización. En este momento se permite la idónea identificación de los productos y soluciones del mercado, o bien de soluciones desarrolladas en casa. Si existe un riesgo y alto impacto asociado a los procesos de almacenamiento y backups de los datos empresariales, las soluciones de Gemelo Storage Solutions, concatenadas con las soluciones de hosting de almacenamiento de los proveedores de estos servicios, representarían esquemas ideales a bajos costos con la garantía que requieren nuestras organizaciones. Adicionalmente, los múltiples proveedores de enlaces pudieran servir de soluciones contingentes al esquema comunicacional primario, por citar algún ejemplo particular. Desarrollo e Implantación del Business Continuity Plan (BCP) Esta etapa comprende el diseño, desarrollo, prueba y puesta en producción de todos los procedimientos y controles que persiguen mitigar las incidencias negativas de no contar con la tecnología que la organización requiere en forma continua. 11

12 En esta etapa se desarrollan los siguientes elementos: procedimientos, controles, normas, equipos de contingencias, definición de recursos requeridos, pruebas y simulacros, principalmente. Cabe resaltar la importancia de someter a pruebas y simulacros el plan de contingencias y recuperación, de manera de garantizar que el mismo siempre se encuentre a tono con los cambios tecnológicos, tendencias y mejores controles. Post-Implantación Esta etapa comprende la continua evaluación, y rectificación, por parte del equipo designado de contingencias, de todos los elementos incluidos dentro de la función del BCM, esto de manera de garantizar que se cubrirán las expectativas de continuidad operativa-computacional de la empresa en todo momento. Los beneficios de esta continua evaluación se traducen en maximización de costos, reducción o mitigación de riesgos asociados a discontinuidades operativas-computacionales, y continua calidad de los productos y servicios que ofrece la empresa. En esta denominada Nueva Economía del siglo XXI, en la que vemos el surgimiento de nuevos y sofisticados elementos de control empresarial (v.g.: Gerencias de Riesgos, conceptos de Revenue Assurance, el papel preponderante del Chief Risk Officer (CRO), etc.), nace el concepto del Business Continuity Management (BCM) como un nuevo y revolucionario enfoque que refuerza los tradicionales esquemas de protección de los activos de computación y planes de contingencia, continuidad y recuperación por desastre, que habían hasta la fecha sido implantados medianamente y con escasa eficacia por las organizaciones. Son las organizaciones sensibles a sus recursos humanos, a sus clientes, y asociados en general, las que están adoptando el enfoque del BCM para ayudar a garantizar el cumplimiento de la misión, visión y objetivos empresariales. Douglas Chemaly Socio Deloitte & Touche, Venezuela dchemaly@dttve.com 12

13 About Gemelo Storage Solutions Gemelo Storage Solutions offers scalable and flexible solutions for data storage and backup with full availability and reliability permitting clients to focus their attention and capital on their core business. With a broad view on different processes and businesses, Gemelo Storage Solutions integrates the various complex technologies and professional services. Gemelo Storage Solutions is the first Storage Service Provider in Latin America, with a presence in Mexico City, São Paulo, Santiago de Chile, Buenos Aires, and Caracas. Visit: For subscriptions please send an to: newsletter@gemelostorage.com with the name, company, role and and indicating in the subject: To Subscribe To unsubscribe, please send an to: newsletter@gemelostorage.com indicating in the subject: To Unsubscribe Sobre Gemelo Storage Solutions A Gemelo Storage Solutions provê soluções escaláveis e flexíveisd e armazenamento e proteção de dados com disponibilidade e confiabilidade, permitindo a seus clientes focar sua atenção em seu core business. Com uma ampla visão de processos e negócios, integrando tecnologias diversas e serviços profissionais, a Gemelo Storage Solutions é o primeiro Storage Service Provider da América Latina. A empresa está presente na Cidade do México, São Paulo, Santiago, Buenos Aires e Caracas. Visite o site: Sobre Gemelo Storage Solutions Gemelo Storage Solutions provee soluciones escalables y flexibles de almacenamiento y protección de data con disponibilidad y confiabilidad, permitiendo a sus clientes focalizar su atención y capital en su área central de negocios. Con una amplia visión de procesos y negocios, e integrando diversas y complejas tecnologías y servicios profesionales, Gemelo Storage Solutions es el primer Storage Service Provider de Latino América, con presencia en Ciudad de México, São Paulo, Santigo de Chile, Buenos Aires y Caracas. Visitenos en: 13

14 Chile Alcántara 44, Piso 8, Las Condes Santiago ' (56-2) Fax (56-2) Brasil Rua Iguatemi 192 cj. 184 Itaim Bibi São Paulo SP ' (55-11) Fax (55-11) Argentina Av. Alicia Moreau de Justo 740 PB Of. 3 Puerto Madero Capital Federal ' (54-11) Fax (54-11) Mexico Av. Paseo de las Palmas 555 Of.103 Lomas de Chapultepec, Delegación Miguel Hidalgo México DF ' (52-55) Fax (52-55) Venezuela Torre Provincial A, Piso 12 Av. Francisco de Miranda, Chacao, Caracas ' (58-212) Fax (58-212) Contact us at: marketing@gemelostorage.com