1 Recuperación de Desastres Lecciones Prácticas Junio 2006

2 2 Organización 1.Una industria diferente…, nuevos retos, nuevos riesgos 2.Análisis de Impacto al Negocio 3.Cuantificación del riesgo 4.El Plan 5.Consejos prácticos

3 3 Una industria diferente.., nuevos retos  En el curso de los últimos 50 años hemos migrado de custodiar activos (pricipalmente) en forma física a custodiar activos (principalmente) en forma digital.  El el curso de los últimos 50 años hemos migrado nuestra principal fuente de ingreso de la intermedicación financiera a los ingresos por servicios.  Dado que los activos que custodiamos se encuentran mayormente en forma digital, y nuestros ingresos se derivan principalmente de la prestación de servicios transaccionales que envuelven activos en forma digital, podemos concluir que un banco moderno no puede operar sin un sistema de proceso de información digital.  Dado que la operación del banco depende del funcionamiento de ese sistema., el mismo tiene que ser robusto (resilient) y confiable (reliable). Una industria diferente, nuevos retos

4 4 Reducción en el número de bancos Una industria diferente, nuevos retos

5 5 Las fusiones continúan Una industria diferente, nuevos retos

6 6 Mayor concentración de activos Una industria diferente, nuevos retos

7 7 Mas dinero en el sistema …”Los bancos miembros de la Reserva Federal han logrado conseguir activos de $176 mil millones,... Los bancos comerciales no miembros, controlan activos de $31 mil millones y las asociaciones mutualistas y de ahorro $33 mil millones” Presidente Eisenhower - State of the Nation address 1957. Una industria diferente, nuevos retos Enero 1957 = $240,000MM Enero 1992 $4,536,385 MM Marzo 2007 $11,981,167 MM

8 8 Resumiendo  El sistema bancario tiene un numero menor de instituciones que custodian una cantidad inmensa de activos financieros en forma digital y que derivan gran parte de sus ingresos de servicios dependientes de tecnología.  Como resultado, hay una gran dependencia del público usuario de servicios bancarios en la confiabilidad y seguridad de estos servicios., al punto que la seguridad y solidez del sistema financiero nacional requiera a los bancos mantener sus infraestrúctura tecnológica protegida de riesgos lógicos y físicos.  Pero para complicar todo esto, los riesgos que enfrenta el sistema financiero, se han multiplicado. Hoy enfrentamos riesgos que no existían hace 20 años. Una industria diferente, nuevos retos

9 9 Risk Events INTERNAL AND EXTERNAL RISKS MALICIOUS ACTIVITY FRAUD, THEFT OR BLACKMAIL SABOTAGETERRORISM NATURAL DISASTERS FIRE FLOODS AND OTHER WATER DAMAGE AIR CONTAMINANTS HAZARDOUS CHEMICAL SPILL SEVERE WEATHER TECHNICAL DISASTERS EQUPMENT AND SOFTWARE FAILURE POWER FAILURE TRANSPORTATION SYSTEM DISRUPTIONS COMMUNICATIONS FAILURE Los eventos de riesgo también han cambiado

10 New York Twin Towers – 9/11 Terrorismo Tradicional

11 11 Nuevas formas de terrorismo

12 12 Requisito regulatorio El Consejo de Administración y los oficiales principales de la institución son responsables de :  Asignar los recuersos necesarios para desarrollar un plan de recuperación de desastre.  Desarrollar la política de recuperación de desastre.  Revisar los resultados de las pruebas del plan de recuperación de desastre.  Aprobar el plan anualmente y,  Asegurar que el plan se mantiene al día y que los empleados se encuentran adiestrados en el mismo. http://www.ffiec.gov/ffiecinfobase/html_pages/it_01.html#bcp Una industria diferente, nuevos retos

13 13 Riesgo Operativo Ataques cibernéticos Errores Opertivos Problemas con la infraestructura tecnológica. Riesgo Regulatorio Cumplimiento con Basilea II, SOX404, GLB501b Riesgo Reputacional Pero no es solo regulacion, tiene sentido común

14 14 PRIMER PASO, Análisis del Impacto  Identificación del impacto a la institución de la paralización de cada uno de los procesos críticos y no críticos.  Considerar todos los departamentos, no solo la función de tecnología y  Estimar el máximo tiempo que el banco puede estar paralizado y el nivel aceptable de pérdidas operativas y financieras. http://www.ffiec.gov/ffiecinfobase/html_pages/it_01.html#bcp Análisis del Impacto al Negocio

15 15 Selección de Aplicaciones Críticas Análisis del Impacto al Negocio

16 16 SEGUNDO PASO–Cuantificación del Riesgo  Analizar los eventos de riesgo potenciales basados en su impacto a la organización, sus clientes y los mercados.  Priorizar los eventos de riesgo potenciales al negocio en base a la probabilidad y severidad de que ocurra.  Comparar el plan de recuperación de desastre existente para determinar que sería necesario para alcanzar los objetivos de recuperación determinados en el paso anterior. Cuantificación del Riesgo

17 17 Para organizaciones en Miami, huracanes es nuestro evento principal de riesgo. Source: National Hurricane Center – NOAA Cuantificación del Riesgo Costa Sur de la Florida ‘ Promedio sobre los últimos 160 años… Un huracán cada 4 años. Un huracán de gran intensidad, cada 10 años.

18 18 Cuantificación del riesgo.. En un año cualquiera: No hay huracán = 75% Huracán (categoría 1 or 2) = 25% Huracán (categoría 3, 4 or 5) = 10% Factores que afectan la estadística histórica: Ciclo de hiperactivad de 11 años Calentamiento global Incrementamos las probabilidades en un 5% Resultados: No hay huracán = 65% Hurricán (categoría 1 or 2) = 30% Hurricán (categoría 3, 4 or 5) = 15% Cuantificación del Riesgo

19 19 Brickell Ave, Miami, el día después CAT 1 Wilma

20 20 Determinación del impacto – Andrew – Categoría 5 Cuantificación del Riesgo

21 21 Determinación del impacto– Katrina Huracán Cat 5 New Orleans after Hurricane Katrina Cuantificación del Riesgo

22 22 Riesgo- exposición annual a Huracanes– Miami Impact to Operations: 1 a 5 minimal 5 a 7 moderate 7 a 10 severe Cuantificación del Riesgo

23 23 El Plan

24 24 COMPONENTESPLATAFORMAJURÍDICA PLATAFORMA DE VENTAS Y SERVICIO PLATAFORMA DE EJECUCIÓN (OPERACIONES) PLATAFORMATECNOLÓGICA FLUJO PROCESAL CLIENTES CONTRAPARTIDAS El Plan

25 25 COMPONENTES tecnologIA COMUNICACIONES PERSONAL LOGISTICA DE OFICINA El Plan

26 26 Componentes de la Infrastructura de un Plan de Recuperación de Desastre FLUJO PROCESAL OPERACIONES TECNOLOGIA Y COMM VENTAS Y SERVICIO FACILIDAD ALTERNA DE OPERACIONES – HOT SITE BACK UP o COLLOCATION FACILITY SUCURSALES Y LOCALES ALTERNOS – OFICINAS VIRTUALES FLUJO DE INFORMACIÓN FLUJO DE INFORMACIÓN BUSINESS PROCESS FLOW CLIENTES El Plan

27 27 Componentes Tecnología Local alterno Replicacion entre el local primario y el secundario Backup para la protección de los datos Clustering, convergencia, virtualización, consolidación para maximizar el uso de los recursos duplicados. Communicaciones Red de comunicaciones alternas desde y hasta el local alterno, y del local alterno al HOT SITE y al resto de la red. Red de comunicaciones alternas de voz desde y hasta el local alterno operativo HOT SITE y el resto del mundo. Personal Selccione y adiestre personal de todas al áreas para que actúen como líderes de recuperación de desastre. Adiestre el personal de las sucursales para respaldar al personal de operaciones bajo condiciones de recuperación de desastre. El Plan

28 28 Componentes Logísticas de la oficina Contrate y equipe un local alterno para Operaciones. Provea transportación del personal al local alterno. Provea al personal las necesidades básicas (comida, agua, combustible para el auto, etc.) Provee el material para correr el negocio (papel, formularios, suministros de oficina) Plan Desarrolle y pruebe el plan de recuperación de desastre. Desarrolle el plan para transicionar de: –Operaciones normales a recuperación de desastre. –Recuperación de desastre a continuidad del negocio –Continuidad del negocio a operaciones normales.. El Plan

29 29 PASOS PARA EL DESARROLLO DE UN PLAN DE RECUPERACION DE DESASTRE 1. Cual son los riesgos que enfrentamos 2. Que necesitamos proveer y en que tiempo 3. Que facilidades físicas necesitamos 4. Que recursos humanos necesitamos 5. Como comunicamos los clientes, el personal comercial, el de operaciones y el centro de cómputo alterno 1 5 1 2 3 4

30 30 Pasos 1. Desarrolle la estrategia de recuperación – Siga la ley de Paretto.., el 20% de su gente, ejecuta el 80% del trabajo. Seleccione de cada Unidad, ese 20% y asígnelos al equipo de recuperación de desastre. Asígneles un lugar alterno y provealas las herramientas necesarias para trabajar. Defina como se operará durante la fase de recuperación de desastre y como se transicionará a la etapa de continuidad del negocio. 2. Revise los procedimientos para la recuperación tanto en su sitio (ONSITE) como en el alterno (OFFSITE). – Replique la información crítica a una facilidad alterna. Remueva las cintas de respaldo diariamente y envíelas a un lugar seguro. Asegure que mientras se envían, las cintas están en lugar seguro a prueba de agua y fuego. 3. Selecciones facilidades alternas – Necesita de una facilidad para localizar la infrastructura de emergencia con acceso a redes de comunicación independientes, y necesita otro local para acomodar al equipo humano de recuperación de desastre. El Plan

31 31 Diagrama Simplificado de la Configuración de Recuperación

32 32 COLOCATION Facilidad muy segura Punto de acceso a redes (carrier neutral.) El Plan

33 33 Infrastructura de IT (Diagrama menos simplificado) El Plan

34 34 Los comerciales necesitan un plan diferente 1. Esencial a la parte comercial del Banco es la capacidad de comunicarse con sus clientes primero, y con el HOT SITE segundo. 2. En muchos casos lo mejor es que los comerciales se encuentren fuera del área afectada. 3. Sucurales y oficinas de representación tienen que asumir la responsabilidad comercial durante el período de recuperación. 4. El medio de comunicación primario con el HOT SITE sería E Mail, seguido por FAX y teléfono. El Plan

35 Theory Las olas generadas por el huracán Wilma Chocando contra el Castillo de Morro en la Habana. 144 ft Lecciones Aprendidas

36 36 Gestión del Riesgo 1. MITIGACIÓN 2. NEGOCIACIÓN 3. COMUNICACIÓN 4. PREPARACIÓN Herramientas de Gestión de Riesgo 1. Tenga muchas herramientas disponibles 2.De todas ellas la mas importante es aquella que permite al equipo comunicarse entre ellos, con las sucursales y con el resto del mundo. 3.Las herramientas relacionadas con las comunicaciones son las mas importantes. Tenga tantos canales alternos como sea posible.

37 37 ¡Recuerde! Cada situación de desastre es diferente Cada situación de desastre es diferente Cada recuperación de desastre es diferente. Cada recuperación de desastre es diferente. Anticipe que su infraestructura de recuperación de desastre no funcionará nunca en la vida real, como en las pruebas. Anticipe que su infraestructura de recuperación de desastre no funcionará nunca en la vida real, como en las pruebas. No permita que su plan de recuperación de desastre interfiera con su recuperación de un desastre. El éxito depende de su capacidad de liderear cada proceso, de improvisar, de anteponerse a obstáculos y de tomar decisiones difíciles bajo circunstancias muy estresantes. Huracán fuerza 5 azotando la costa de Australia -2006.

38 38 Mapa de trayectoria de huracanes – temporada 2005

39