Plan de Continuidad para el Negocio

Rodrigo Ferrer Velsquez

CISA

Fernando Ferrer Olivares

CISA, CISM, PMP, CCSA COBIT Foundation Certificate COBIT Trainer Accredited

CISSP ABCP COBIT Foundation Certificate CSSA CST Rodrigo.ferrer@sisteseg.com www.sisteseg.com 310 2234533 Ing Electrico Esp. Telecomunicaciones Estudios de Maestra.

fferreol@ferrolig.com fferreol@banrep.gov.co
314-2950236 Socio Fundador de FERROL International Group IT Governance, Control, Security and Audit Services Universidad Catlica de Colombia Especializacin Auditora de Sistemas

El uso de TI tiene el potencial de ser el conductor principal de la abundancia econmica en el Siglo XXI. Mientras que este recurso ya es crtico para el xito de las empresas, proporciona oportunidades de obtener una ventaja competitiva y ofrece los medios para aumentar productividad, esto ser an ms cierto en el futuro.

Pero, TI conlleva riesgos. Y es claro que en estos das de negocios a escala global, los tiempos improductivos han llegado a ser demasiado costosos para las empresas. En algunas industrias, es un recurso necesario para diferenciar y proporcionar una ventaja competitiva mientras que en muchos otras determina la supervivencia.

ITGI, Board Briefing on IT Governance, 2nd Edition, USA.

Copyright: Rodrigo Ferrer

AGENDA
1. 2.

Introduccin FCE para la Implementacin de PCNs eficientes Metodologa Proyectos vs. Procesos Otros Frameworks Roles & Responsabilidades Concientizacin, Entrenamiento & Educacin Empleo de Herramientas Mantenimiento del Plan Pruebas y Auditoras Conclusiones

3.

Copyright: Rodrigo Ferrer

Introducci Introduccin

Por qu implementar BCM?

Presiones internas

Logro de objetivos (alineamiento) Logro de beneficios

Presiones externas

Exigencias o demandas Por mensajes del mercado ( moda)

Copyright: Rodrigo Ferrer

Por qu implementar BCM?

Logro de beneficios

Sobrevivencia corporativa Mayor impacto en el valor de las acciones

The impact on shareholder value
After initial reflex (10 days), market begins to assess companys response.

Cumulative abnormal returns (%) i.e., change in market

cap adjusted for market movement

Effective crisis response Ineffective crisis responses

25

50

75

100

125

150

175

200

225

250

Trading days after the event

Source: The Impact of Catastrophes on Shareholder Value, Rory F. Knight & Deborah J. Pretty, Templeton College, University of Oxford, p. 3.

Impacto en la reputacin
Debida diligencia
Copyright: Rodrigo Ferrer

Por qu implementar BCM?

Exigencias o demandas (Compliance) Requerimientos legales o de terceras partes (stakeholders)

Legislacin concerniente a:
Control Interno sobre Reportes Financieros - SOX Informacin Mdica HIPPA Superintendencia Financiera

Risk Management Requerimientos de Aseguradoras Requerimientos de Auditora Clentes (SLAs) Obligacin con accionistas & empleados
Copyright: Rodrigo Ferrer

Por qu implementar BCM?

ByIDA By-law 17.19

Every Member shall establish and maintain a business continuity plan identifying the necessary procedures to be undertaken during an emergency or significant business disruption. Such procedures shall be reasonably designed to enable the Member to stay in business in the event of a future significant business disruption in order to meet obligations to its customers and capital markets counterparts

Copyright: Rodrigo Ferrer

Por qu implementar BCM?

Por mensajes del mercado

Asociaciones Consultores Vendedores de Software

Never before had the ability of business to recover been played out in the full glare of the worldwide media (Honour, 2002)

Copyright: Rodrigo Ferrer

Pero qu es BCM?
Existen mltiples definiciones:

provides the availability of processes and resources in order to ensure the continued achievent of critical objectives
Standars Australia /NZ HB 221: 2003

[the] way an organization provides its products and services whilst increase its resilience to disruption, interruption or loss
Business Continuity Institute 2002

The uninterrupted availability of all key resources to support essential business processes
Australian National Audit Office

Copyright: Rodrigo Ferrer

Qu es Continuidad del Negocio?

La continuidad del servicio involucra capacidades estratgicas y tcticas, preaprobadas por la direccin de una entidad, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente definido

BSI, BS-25999, pag. 6.

Copyright: Rodrigo Ferrer

Metodolog Metodologa

pr Mejores prcticas

Copyright: Rodrigo Ferrer

Framewo Est Frameworks y Estndares

Copyright: Rodrigo Ferrer

DRII

Copyright: Rodrigo Ferrer

BCI
Business Continuity Management Principles (Chapter 1) Understanding the Organisation (Chapter 2) Determining BCM Strategy (Chapter 3) Developing and Implementing BCM Response (Chapter 4) Exercising, Maintaining & Reviewing BCM arrangements (Chapter 5) Embedding BCM in the Organisations Culture (Chapter 6)

Copyright: Rodrigo Ferrer

NPFA 1600
Qu es la NFPA 1600?
La NFPA 1600 establece una base de normalizacin para el planeamiento y operaciones de manejo de desastres/ emergencias al brindar elementos comunes del programa, tcnicas, y procedimientos enfocados en su totalidad en el programa.

Copyright: Rodrigo Ferrer

Metodologa de BCP NIST SP800- 34

Continuity of Operations Plan (COOP)

Occupant Emergency Plan (OEP)

Cyber Incident Response Plan

Crisis Communications Plan

Business Continuity Plan (BCP)

Continuity of Support Plan/IT Contingency Plan

Disaster Recovery Plan (DRP)

CARRERA 18 NO. Facilities 86A 14. TELFONO: IT +57 (1) 6386223. Business FAX: +57 (1) 6163030. Major Impact WWW.ESTEGANOS. for Information Technology Systems, Recommendations of the National Institute of Standards and Technology NIST, June 2002 Contingency Planning Guide Copyright: Rodrigo Ferrer COM

Business Recovery (or Resumption) Plan (BRP)

Crisis Management Planning Part IV, Crisis in Organizations Lawrence Barton.

Business Continuity Planning

Prevention Plans

Emergency Response Plans

Business Resumption Plan

Before

During

After

Risk Management

Incident Response Life Safety vs. Assest Protection Damage Assessment

Crisis Mgmt. Plan

Facility Plans

Bus. UnitsPlans

Security Plans

I.S. Dept. Plan

Copyright: Rodrigo Ferrer

Risk Management Policy Appendix A Risk Management Phases, Treasury Board of Canada Secretariat.

Risk Management

Before an Incident

During an Incident

After an Incident

Identify

Contain

Compensate or Restore and Recover

Minimize

Copyright: Rodrigo Ferrer

Metodologa Metodolog

Copyright: Rodrigo Ferrer

An Anlisis de Impacto al Servicio - BIA

Copyright: Rodrigo Ferrer

Impacto
Tiempo Impacto Financiero (3) Prdida de Imagen o Reputacin (4) Dao a la Comunidad (5)

10 minutos 30 minutos 1 hora 4 horas 16 horas 1 dia 2 dias 4 dias 1 semana 1 mes

Copyright: Rodrigo Ferrer

Cr Procesos Crticos del Negocio

Finanzas Salud ambiental Seguridad Edificios

Personal, proveedores y clientes

Tecnologa Informacin

Procesos crticos de Negocio

Legal

Recursos Humanos Telecom Redes y Hardware Procesamiento Transaccional

Copyright: Rodrigo Ferrer

An Anlisis de Impacto al Servicio - BIA

COSTO

PERDIDAS INTERRUPCION COSTO ESTRATEGIA

TIEMPO

Copyright: Rodrigo Ferrer

Gesti Gestin del Riesgo

Gesti Gestin del Riesgo

Copyright: Rodrigo Ferrer

El Riesgo La falta de una gestin del riesgo en cualquier entidad puede tener como consecuencia:
Perdida de tiempo Perdida de productividad Perdida de informacin confidencial Prdida de clientes Prdida de ingresos Prdida de competitividad en el mercado Prdida de imagen - credibilidad

Copyright: Rodrigo Ferrer

Las Amenazas
Amenazas Naturales & Ambientales Fuego Tormenta Elctrica Terremoto Inundacin Tornado Sequa Huracn, Tifn, Cicln Volcn Tsunami Pandmica Accidentales Omisin Error Humanas Intencionales Omisin Error Fuego Robo Sabotaje Vandalismo Huelga Terrorismo Amenaza qumica o biolgica Guerra Ciber-amenaza De Infraestructura Dao estructural Comunicaciones Sistemas de Seguridad Potencia elctrica Calefaccin / Aire Paro de transporte Prdida de utilidades Contaminacin de comida o agua 29 Cambio legal o regulatorio

Copyright: Rodrigo Ferrer

Gestin del riesgo - Tratamiento

ACEPTAR o ASUMIR EL RIESGO

EVITAR EL RIESGO

Estrategias de Tratamiento

TRANSFERIR EL RIESGO

MITIGAR EL RIESGO (mitigar el impacto o reducir la probabilidad)

ATOMIZAR EL RIESGO

Gestin del riesgo - Mitigacin

Centros de Procesamiento Servidores

Tecnolgicas

Comunicaciones Suministro Elctrico

Estrategias de mitigacin

Datos, Backups & Recuperacin Equipos y Roles Procesos de Continuidad

No tecnolgicas

Recurso Humano Capacitacin Suministros

Cmo implementar BCM?

Retroalimentacin Tomar conciencia y decidirse Identificar necesidades Analizar gaps (vacos diferencias) Analizar opciones Analizar riesgos Seleccionar procesos Revisin postimplementacin

Definir dnde est usted Envision la solucin

Definir dnde desea estar usted

Definir proyectos Planear la solucin

Desarrollar e implementar el plan de cambio

Integrar a las prcticas del da a da Implementar la solucin

Integrar medidas en IT-BSC

Adaptado de IT Governance Hands-on: Using COBIT to implement IT Governance, Luc Kordel, Information Systems Control Journal, Volume 2, 2004

Copyright: Rodrigo Ferrer

Roles y Responsabilidades

COBIT 4.1 Responsabilidades

Copyright: Rodrigo Ferrer

Concientizaci Concientizacin, Entrenamiento y Educaci Educacin

Concientizacin

Talleres
Deduccin

Presentaciones
nfasis en imagenes, experiencias, estadsticas, mensajes

Expertos
Internos y Externos

Copyright: Rodrigo Ferrer

Concientizacin

Deduccin
Qu hara usted maana si su compaa es
consumida por el fuego hoy? Qu haran sus clientes? Qu haran sus competidores? Qu haran sus bancos y accionistas?

CARRERA 18 NO. 86A 14. TELFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. Rodrigo Ferrer Copyright: WWW.ESTEGANOS.COM

Una imagen ..

Copyright: Rodrigo Ferrer

Una imagen ..
Could your company carry on if the unthinkable happened?

Copyright: Rodrigo Ferrer

Experiencias, eventos
Naturales
o o o o o

Causadas por el hombre

Terremotos Tornados Huracanes Inundaciones Pandemias

o Terrorismo o Robo o Ciberincidentes

Las crisis causadas por los humanos pueden ahora rivalizar con los desastres naturales en alcance yymagnitud Las crisis causadas por los humanos pueden ahora rivalizar con los desastres naturales en alcance magnitud (Mitroff, 2001) (Mitroff, 2001)

Copyright: Rodrigo Ferrer

Estadsticas Impactos / Prdidas

INCIDENT DATE: LOCATION: LOSS:

Terrorist Attacks Hurricane Andrew Earthquake Floods Riots Blizzard Wildfires Bombing Heavy Rains Tornados Power Outages

Sep/2001 Aug/1992 Jan/1994 Apr/1992 May/1992 Mar/1993 Oct/1991 Feb/1993 Jan/1993 Apr/1991 Aug/2003

NY, PA and Wash DC Florida, Gulf Coast Los Angeles, CA Midwest Los Angeles 24 States Oakland, CA NY World Trade Center Arizona Andover, KS US and Canada

$27 Billion $24 Billion $11 Billion $10 Billion $2 Billion $1.8 Billion $1.7 Billion $540 Million $56 Million $50 Million $ N/A

NOTA: Los datos reflejan costos de infraestructura y limpieza no las prdidas de ingresos de negocio

Interrupcin de negocio == MUCHO DINERO !!! Interrupcin de negocio MUCHO DINERO !!!

Copyright: Rodrigo Ferrer

. Pilas con
Todo lo anterior es cierto, pero

Nosotros somos inmunes a desastres Eso nunca pasar aqu Nosotros tenemos una poltica de seguros, eso es suficiente Nosotros nunca hemos tenido problemas antes

CARRERA 18 NO. 86A 14. TELFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. Rodrigo Ferrer Copyright: WWW.ESTEGANOS.COM

Entrenamiento en BCM

El entrenamiento incluye, entre otros aspectos:

El adiestramiento al personal en sus roles y responsabilidades relacionadas al Plan As como el entrenamiento en habilidades especificas que necesitarn para llevar a cabo sus roles efectivamente Certificaciones

Copyright: Rodrigo Ferrer

Actividades a realizar

Copyright: Rodrigo Ferrer

Empleo de herramientas

Herramientas para el BCP

Copyright: Rodrigo Ferrer

Mantener contactos

Copyright: Rodrigo Ferrer

Alertas

Copyright: Rodrigo Ferrer

Beneficios Herramientas
El plan se mantiene actualizado Ms fcil notificacin a participantes Facilidad de realizar el BIA (incluido en la herramienta) Facil intercambio de planes especficos (workflow) Facilidad para el entrenamiento y educacin Se debe considerar de la confiabilidad del sistema en donde se encuentre la herramienta en caso de fallas.
Se puede tener una plataforma o varias con el software Servicios de acceso web

Copyright: Rodrigo Ferrer

Entrenamiento Online

Copyright: Rodrigo Ferrer

Auditor Auditora

COBIT DS4DS4- Asegurar el servicio continuo

Framework de Continuidad de TI La Gerencia de TI, en cooperacin con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad

Copyright: Rodrigo Ferrer

COBIT DS4DS4- Asegurar el servicio continuo

Framework de Continuidad de TI La Gerencia de TI, en cooperacin con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad el cual define: - Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso Personal interno y externo (usuarios y proveedores de servicios)

Copyright: Rodrigo Ferrer

COBIT DS4DS4- Asegurar el servicio continuo

Pruebas al Plan de Continuidad de TI Para contar con un Plan de Continuidad efectivo, la gerencia necesita evaluar su adecuacin de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI Esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas e implementar un plan de accin de acuerdo con los resultados Considerar la extensin de las pruebas de recuperacin de aplicaciones individuales, escenarios punto a punto e integradas

Copyright: Rodrigo Ferrer

Rol del Auditor

Aprendiz

Capacitarse en estos temas Certificarse en estos temas Contribuir a la sensibilizacin y concientizacin sobre estos temas Durante la definicin o establecimiento del Framework Durante el Proyecto Inicial de Construccin de Planes Sugiriendo innovaciones al Framework Aporte de buenas prcticas Durante la elaboracin de los Planes Revisiones posteriores a los Procesos de Construccin de Planes Revisiones posteriores a los Planes

Consultor

Evaluador

Copyright: Rodrigo Ferrer

Tcnicas
Inspeccin y observacin Entrevista Revisin contra estndares aceptados Listas de chequeos y cuestionarios Simulacin Prueba de escenarios Prueba sorpresa aleatoria Desconexin Participar en la prueba de compatibilidad Correr los sistemas crticos en sitios alternos Verificacin del inventario de elementos para la recuperacin Revisin de documentacin Prueba del equipo tigre Observacin de Programas de respaldo similares Revisar los resultados de las pruebas obtenidas por el equipo de recuperacin Participar en pruebas de sitios de backup y Hot Simulacros de emergencia
Copyright: Rodrigo Ferrer

Conclusiones

Cmo se gestiona la Continuidad del Negocio?

Copyright: Rodrigo Ferrer

Porqu BCP? Porqu tener un BCP?

Es mejor tener un Plan que no tenerlo

Debido cuidado Diligencia profesional Actuar con responsabilidad disminuye la responsabilidad

Un Plan disminuye la confusin durante un evento

Proactivo Vs Reactivo Tomar las acciones correctivas cuando sea necesario Se deben establecer controles que mitiguen el riesgo Respuesta ordenada ante un desastre

Copyright: Rodrigo Ferrer

Preguntas?