VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero LAFSA Latin America Financial Services Advisory
Contenido 2 1. Conceptos Claves 2. Antecedentes 3. Amenazas 4. Evaluaciones de Riesgo 5. Importancia y Beneficios 6. Enfoque Visionario 7. Metodología 8. Aspectos a Considerar 9. Planes Complementarios 10. Componentes y Actividades 11. Estándares y Marcos de Referencia 12. Factores Críticos de Éxito 13. Conclusiones
1. Conceptos Claves Page 3
1. Conceptos Claves Business Continuity Plan (BCP) La continuidad del servicio involucra capacidades tácticas y estratégicas pre-aprobadas por la dirección de una entidad para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente definido. Un proceso de desarrollar acuerdos y procedimientos anticipados que permitan a una organización responder a un evento conforme a niveles planificados de interrupción. Respuesta prevista por una organización ante aquellas situaciones de riesgo que afectan de forma crítica a los servicios que ofrecen y que son los que permiten la realización de sus actividades diarias y que deben ser las que se quieren proteger. Procedimientos que permiten mantener las operaciones esenciales del negocio durante y después de una interrupción. Un esfuerzo coordinado que se focaliza en minimizar el impacto de fallas para la organización y sus clientes, permitiendo la continuidad de las operaciones durante un evento de emergencia o desastre. Identificación y protección de los procesos y recursos del negocio considerados críticos para sostener un desempeño aceptable, mediante la identificación de potenciales amenazas, la definición de estrategias para su eliminación, minimización o delegación y la preparación de procedimientos para asegurar la subsistencia de los mismos al momento de concretarse dichas amenazas. 4
1. Conceptos Claves Disaster Recovery Plan (DRP) y Riesgos Procedimientos detallados para facilitar la recuperación de los procesos en un sitio alterno. DRP Pérdidas ocasionadas por fraude, actividades no autorizadas, error, omisión, ineficiencia, fallas de los sistemas o por eventos externos. Riesgos 5
2. Antecedentes Page 6
2. Antecedentes Nunca podemos prever todo lo malo que le puede suceder a una organización.las contingencias suelen suceder, muchas veces encadenadas Cuáles serían las primeras acciones? Qué servicios recuperaría primero? Cómo contactaría a sus empleados? 7
2. Antecedentes Está su organización preparada para responder adecuadamente a una interrupción del negocio? Sabe cuáles son las funciones o servicios críticos de su negocio? Sabe su organización cuál es el impacto financiero de una interrupción de un día? Saben sus empleados qué hacer durante una crisis? 8
3. Amenazas Page 9
3. Amenazas Las organizaciones se enfrentan a un amplio espectro de situaciones que pueden amenazar la continuidad de las actividades que permiten llevar a cabo el negocio. Algunas son provocadas deliberadamente, pero muchas otras surgen como resultado de acontecimientos internos o externos inesperados. 10
3. Amenazas Comunes Interrupciones Planificadas Sistema Operativo Hardware Base de Datos Aplicación Migraciones Upgrades Interrupciones No Planificadas Error Humano o Sabotaje Fallas Hardware/Software (Virus) Fallas Eléctricas Motines Sociales Fuego Inundación Tormentas / Temblores 11
3. Estadísticas De los negocios que tienen un desastre: 43% nunca más abren 29% cierran en 2 años 22% cierran después de 2 años 6% sobreviven El 90% de las compañías que experimentan una pérdida de datos y equipos catastrófica (mayor a 5 días) y no tienen un plan, quiebran en 2 años Un 20% de las compañías que han sufrido algún tipo de desastre, han tenido que cesar operaciones por un tiempo considerable 15% de las compañías que han sufrido un desastre, resultaron con grandes pérdidas financieras. De ellas, un 27% tuvieron pérdidas superiores a $100,000 diarios De cada 100 empresas que afrontan un desastre sin contar con un Plan de Continuidad de Negocio, el 43% nunca reabre su negocio, el 51% cierra en menos de 2 años y solo el 6% sobrevive a largo plazo 12
3. Estadísticas 13
4. Evaluaciones de Riesgo Page 14
4. Relación con Evaluaciones de Riesgo Las organizaciones como parte de sus gestiones de riesgo, realizan actividades y obtienen resultados que conllevan a reforzar o implementar las gestiones de continuidad operacional. 1. Situaciones a controlar 2. Situación objetivo 3. Controles implementados 4. Activos implicados 5. Amenazas 6. Áreas organizacionales implicadas 1 2 Plan de Continuidad de Negocio Plan de Recuperación de TI 15
5. Importancia y Beneficios Page 16
5. Por qué las Estrategias de Continuidad? Tomar las acciones correctivas cuando sea necesario. Garantizar la continuidad del servicio. Respuesta ordenada ante un desastre. Cumplir con aspectos regulatorios. Minimizar el impacto de una interrupción. Impedir la paralización de la organización. Se basa en el entendimiento de los procesos críticos de la organización, de los elementos que soportan su operación y el riesgo que representa su paralización. Permiten definir cómo se preparan las organizaciones para evitar y afrontar situaciones de crisis. Buscan mantener el nivel de servicio en los límites definidos por la organización. Establecer un período de recuperación mínimo para garantizar la continuidad del negocio. Recuperar la situación inicial de los servicios y procesos hasta la situación anterior al incidente de seguridad que lo provocó. 17
5. Beneficios Salvaguardar la integridad de las personas y la imagen de la organización. Ser y Parecer competitivos. Mantener la imagen frente a los clientes y socios. Mantener posicionamiento frente a la competencia. Satisfacer requerimientos de socios de negocio y clientes. Mejorar el ambiente de control interno. Aseguramiento de la continuidad del negocio a través del conocimiento del impacto en los procesos críticos existentes evitando la generación de pérdidas económicas considerables. Poseer altos índices de competitividad y seguridad en el mercado debido a la preparación del personal ante un evento de alto riesgo. Comprensión del papel que juega la gestión de riesgos en el manejo táctico y estratégico. Determinar su apetito por el riesgo y definir los lineamientos específicos para la preparación ante un evento inesperado. 18
6. Enfoque Visionario Page 19
Partes Interesadas Requisitos y Expectativas de Continuidad Planear Diagnóstico y Diseño Ajustar Mejoramiento continúo SGCN Gente Confiabilidad Entrenamiento Gobierno y estructura Hacer Implementació n y Ejecución Verificar Monitoreo y Medición Partes Interesadas Continuidad en la prestación del Servicio 6. Enfoque El enfoque parte del entendimiento de los diferentes componentes y elementos que articulan un programa de continuidad de negocio, como se muestra a continuación: ICONTEC NTC 5722 BS 25999 Experiencia de EY en proyectos de continuidad NFPA 1600 ISO 22301 NIST Otros estándares 20
6. Enfoque Proceso 1 Proceso 2 Líneas de continuidad operativa Proceso n Producto / Servicio 1 Proceso 3 Proceso 4 Producto / Servicio 2 Instalaciones Recurso Humano Proveedores Tecnología Otros Recursos este enfoque debe partir de entender e ilustrar el camino lógico que se sigue para entregar satisfactoriamente el producto o servicio a un cliente Qué? Quién? Con Qué? Dónde? Las actividades o procesos que componen la entrega del producto La relación de funcionarios y/o proveedores que participan en las diferentes actividades Los recursos con los cuales se está realizando el conjunto de actividades La infraestructura física donde se está realizando el conjunto de actividades Cuándo? La periodicidad (aplica si es relevante) 21
6. Enfoque 22
7. Metodología Page 23
7. Metodologías Prácticas Él éxito de una buena implementación de la gestión de continuidad de negocios está direccionado por una Metodología eficiente. 2 3 Estrategias de Gobierno 1 Matrices de Impacto y Riesgo Plan de Contingencia de Procesos y Servicios y Recuperación de TI Implementación, Capacitación y Pruebas 5 Plan de Crisis 4 24
7. Metodologías Prácticas Estándar BS25999: Entendimiento de la Organización. Opciones BCM. Desarrollo e Implementación. Mantenimiento, Auditoría y Autoevaluación. 25
8. Aspectos a Considerar Page 26
8. Características a Considerar antes de Desarrollar el Plan de Continuidad Obligaciones de la alta administración para asegurar la continuidad del negocio e involucrar a todo el personal de la organización, esto no es una labor de un área en particular. Debe formar parte del programa global de gestión de riesgos de la organización. Incluir no solo aspectos técnicos sino también de recursos humanos. Cubrir, al menos, los procesos más críticos de la organización. Con las contrataciones de terceros para ciertos servicios no se transfiere la responsabilidad del BCP. Comunicación del estado actual de implementación, incidentes, planes de acción, resultados de la evaluación periódica del plan, entre otros. Establecer muy claramente quiénes, entre los ejecutivos de una organización, formarían parte de un equipo de gestión de crisis, sus funciones, responsabilidades y autoridad, así como por quiénes deberían ser sustituidos en caso necesario. Establecer un orden de prioridades para el restablecimiento de sus funciones y operaciones así como determinar unos adecuados objetivos de recuperación. Adecuación de los planes de recuperación en especial en lo que se refiere al centro de respaldo: que esté situado suficientemente lejos de la sede principal, que su infraestructura no dependa de los mismos componentes y que disponga del personal, información y medios técnicos necesarios para poder restablecer los servicios más críticos. Identifiquen los niveles y tiempos de recuperación esperados para cada tipo de actividad. Evaluaciones internas y externas de auditoría para probar la efectividad. Protocolos y procedimientos de comunicación tanto dentro de sus organizaciones como con terceras partes en caso de que se produzca un problema operativo importante. Comprobar periódicamente la capacidad de restablecimiento de las operaciones críticas según los objetivos marcados y modificar, en su caso, el plan de continuidad u otros aspectos de su gestión. 27
9. Planes Complementarios Page 28
9. Planes Complementarios Al trabajar en la planificación de la continuidad operativa de una organización hay dos enfoques básicos, complementarios, a seguir: 1 2 Prevenir las eventuales contingencias Responder ante contingencias que ocurran Plan Preventivo Definir e implementar medidas preventivas tendientes a mitigar la probabilidad de que la entidad se vea en una situación de contingencia. Pasos seguidos: Identificar los principales riesgos que pueden colocar a la entidad en una situación de contingencia, que ocasiones pérdidas importantes Medirlos (estimar su exposición) Seleccionar los de mayor exposición Definir un conjunto de medidas preventivas costo- beneficio adecuado tendiente a mitigarlos 29
9. Planes Complementarios Al trabajar en la planificación de la continuidad operativa de una organización hay dos enfoques básicos, complementarios, a seguir: 1 2 Prevenir las eventuales contingencias Responder ante contingencias que ocurran Solución de Continuidad Operativa Incluye las acciones a seguir para determinar si se está o no ante una contingencia, y en caso afirmativo que hacer para superar la situación MINIMIZANDO el impacto negativo la entidad y su personal. Para esto se deberá contar con 3 componentes fundamentales: Acciones a seguir Equipos entrenados Infraestructura y recursos acorde a las acciones planteadas 30
9. Por qué Utilizarlos? Trabajar solamente en la prevención, es incorrecto por cuatro razones fundamentales: 1. Es imposible asegurar que se han identificado todos los posibles orígenes de contingencias, y más que se pueden registrar múltiples combinaciones con éstos. 2. Hay riesgos que no son rentables prevenir. 3. Hay riesgos que no se pueden prevenir. 4. Pese a que se desarrolle un excelente Plan Preventivo, las contingencias igual pueden suceder. 31
10. Componentes y Actividades Page 32
10. Componentes y Actividades Considerando las metodologías existentes, mejores prácticas, procesos de negocio y la tecnología, la cual constituye una parte fundamental del negocio habilitando nuevas funciones, mejorando la eficacia, eficiencia y economía, es necesario diseñar: 1 Análisis de Impacto en el Negocio 2 Evaluación de Riesgos PLAN DE CONTINUIDAD DE NEGOCIOS 3 4 5 Estructura de Gobierno, Políticas y Procedimientos para la Administración de la Continuidad Estrategias de Continuidad Planes de Continuidad y Recuperación 6 Comunicación, Concientización y Entrenamiento 7 Pruebas del Plan de Continuidad 33
10. Resumen de Actividades Las actividades a desarrollar en cada una de las fases son las siguientes: # Fase Actividades 1 2 3 Planeación y Administración Detallada del Proyecto Entendimiento de la Situación Actual Análisis de Impacto en el Negocio 4 Evaluación de Riesgos Confirmación de los roles, responsabilidades, recursos y tiempos necesarios para el desarrollo de cada una de las fases. Elaborar el plan de trabajo detallado. Procesos de negocio, productos y servicios críticos. Localidades y proveedores de servicios utilizados. Recursos tecnológicos que soportan los procesos de negocio. Roles y responsabilidades relacionados a la administración de los recursos tecnológicos críticos. Documentación existente sobre la administración de la continuidad de negocio (si hubiera). Fortalecimiento de la metodología para el análisis BIA. Confirmación del alcance del BIA frente a servicios, procesos y áreas involucradas. Categorías y escalas de impacto. Generación de reporte con la estimación del impacto por proceso en el evento que el proceso no pueda continuar. Generación de reporte con la definición de los procesos críticos para la organización, los recursos tecnológicos y otros tipos de recursos que soportan a dichos procesos de negocios, las interdependencias existentes y los indicadores de recuperación (RTO y RPO). Identificar, evaluar y clasificar los riesgos que podrían impactar a los procesos críticos del negocio. Categorías y escalas de impacto. Homologación de conceptos en la evaluación de riesgos de continuidad. Evaluación de los riesgos de continuidad. 34
10. Resumen de Actividades # Fase Actividades 5 Estructura de Gobierno, Políticas y Procedimientos para la Administración de la Continuidad Definición e implementación de las estructuras de gobierno, políticas y procedimientos para la gestión de la continuidad del negocio. 6 Estrategias de Continuidad 7 8 9 Planes de Continuidad y Recuperación Concientización y Entrenamiento Pruebas del Plan de Continuidad Definición de las estrategias de alto nivel para minimizar la probabilidad de ocurrencia de eventos que impacten en la continuidad de los procesos críticos y/o recuperar la capacidad operativa de los mismos. Plan de administración de crisis. Plan de comunicación en crisis. Plan de continuidad de negocios: objetivos, alcance y escenarios; equipos; procedimientos de notificación, evaluación y activación del plan; procedimientos de contingencia; procedimientos de respaldo; mecanismos de mantenimiento y actualización del plan. Plan de Recuperación ante Desastres y componentes tecnológicos: objetivo, alcance y escenarios; equipos; procedimientos de notificación, evaluación y activación del plan; procedimientos de contingencia; procedimientos de respaldo; mecanismos de mantenimiento y actualización del plan. Articulación de todos los componentes que componen el plan de continuidad. Plan de concientización y entrenamiento de personal. Desarrollo del programa de sensibilización, capacitación y transferencia de conocimientos. Definición del programa de pruebas de estrategias y planes. Diseño de guiones de pruebas. Planeación para la ejecución de pruebas. Ejecución de pruebas. Análisis de resultados y ajustes. 35
$ COSTO 10. Ejemplo BIA Análisis de impacto BIA IMPACTO O PERDIDAS TIEMPO 36
10. Ejemplo BIA 37
10. Ejemplo RIA Evaluación de Riesgos de Continuidad 38
10. Ejemplo RIA 39
10. Ejemplo Estrategias de Continuidad y Recuperación Estrategias de Continuidad y Recuperación 40
10. Ejemplo Estrategias de Continuidad y Recuperación 41
10. Ejemplo Estrategias de Continuidad y Recuperación Integración de Componentes Claves 42
10. Ejemplo Componente de Recuperación Planes Continuidad y Recuperación (BCP/DRP) 43
10. Ejemplo Programa de Continuidad de Negocio Articulado 44
10. Ejemplo Pruebas Programa de Pruebas 45
11. Estándares y Marcos de Referencia Page 46
11. Estándares y Marcos de Referencia Las regulaciones nos impulsan a implementar una gestión de continuidad de negocios y recuperación de tecnología propia de la organización, podemos apoyarnos con estándares y marcos de referencia relacionados. ISO 27001- A.14. Gestión de la Continuidad Comercial Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas o desastres importantes o desastres en los sistemas de información y asegurar su reanudación oportuna. CobiT - DS4:Garantizar la Continuidad del Servicio Objetivo de control de alto nivel: La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio BS 25999 Objetivo: Gestión o plan de continuidad del negocio fundamentalmente enfocado a la disponibilidad de la información, uno de los activos más importantes hoy en día para cualquier organización. 47
12. Factores Críticos de Éxito Page 48
12. Factores Críticos de Éxito Factores Críticos de Éxito BCM Obtener patrocinio ejecutivo para impulsar las políticas y la metodología, y así poder asegurar la certificación y el cumplimiento de las mismas. Establecer un proceso consistente para llevar a cabo el BIA, así como la identificación de riesgos y otras evaluaciones de resiliencia - tanto a nivel estratégico como operativo y así invertir en torno a la continuidad del negocio y las opciones de recuperación de desastres. Dirigir actividades de pruebas comprensivas que integren las dependencias para validar las estrategias de recuperación y concienciar a los equipos de recuperación. Aprovechar las nuevas tecnologías (ej. computación en nube, virtualización, herramientas de medios sociales) en el diseño de los procesos de continuidad del negocio y estrategias de recuperación ante desastres. Contar con la participación y el compromiso del personal involucrado en todos los procedimientos incluidos en el plan. Disponer de la infraestructura requerida para sustentar las estrategias de recuperación que se planteen en dicho plan. 49
13. Conclusiones Page 50
13. Conclusiones 1. El desarrollo de una solución de continuidad debe ser tratado de manera prioritaria y a corto plazo. 2. La organización debe participar en todos sus niveles. 3. Considerar una metodología para el desarrollo de los planes preventivos y de continuidad. 4. En caso de tener un plan de continuidad desarrollado, el mismo debe ser actualizado periódicamente, un plan desactualizado es casi más peligroso que no contar con ningún plan. 5. Visualizar las amenazas, aunque sean poco probables como altas posibilidades de ocurrencia. 6. Considerar todos los componentes del ciclo de vida de la gestión de continuidad de negocios. 7. Apoyarse en los estándares, mejores prácticas y marcos de referencia existentes en el desarrollo del plan y cumplimiento de las regulaciones. 51
13. Conclusiones El único sistema que es realmente seguro es uno apagado y desconectado de la red, encerrado en una caja fuerte forrada de titanio, enterrado en un bunker, rodeado de gas nervioso y custodiado por guardias armados y muy bien pagados. Incluso entonces, no daría mi vida por ello 52
2014 Ernst & Young Todos los derechos reservados Propietario y Confidencial Contactos Cesar Novo CISA CISM CRISC CGEIT Director Ejecutivo LAFSA Risk Advisory FSO e-mail: cesar.novo@do.ey.com 53
54