Plan Nacional de Continuidad del Negocio del Sector Financiero

Plan de Continuidad de Negocio del Sector Financiero Una necesidad en Situaciones Extremas

Ramón Galián Responsable de la Unidad de Continuidad de Negocio Banco de España Conferencia sobre Planes de Contingencia y Continuidad del Negocio en Situaciones Extremas Lima, 1-2/04/2013

DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN

Contenido

Limitaciones de un PCN en situaciones extremas Plan Nacional de Continuidad del Negocio del Sector Financiero Un caso de estudio: Mizuho Financial Group Metodología Test-Driven Development (TDD) aplicada al desarrollo de

planes de continuidad Un escenario extremo poco natural pero no tan improbable

2


Contenido



3


¿A qué puede tener que enfrentarse un Banco Central en un escenario “extremo”?

Los “clientes” del BC pueden experimentar tales problemas que ni siquiera estén en condiciones de recibir los servicios del BC Los bancos, las bolsas, las cámaras de compensación, etc.

Los “proveedores” del BC puede que tampoco estén en condiciones de prestar los servicios básicos que el BC necesita para su funcionamiento Agua, energía, comunicaciones, etc.

En este tipo de escenarios, puede llegar a interrumpirse el negocio de todo el sector financiero o, al menos, de una parte significativa del mismo Afectando, por tanto, a la estabilidad financiera del país

4


Limitaciones de un PCN convencional en casos extremos

Las entidades privadas tenderán a no cubrir en sus PCNs estos escenarios Los costes que habrían de asumir les restarían competitividad Tentación de considerarlos riesgos residuales

En situaciones extremas, el Banco Central podría llegar a tener exigencias superiores a las de su régimen normal de funcionamiento Sin embargo, un PCN convencional suele tener como objetivo respuestas en

régimen “degradado”

5


Necesidad de un Plan de ámbito sectorial

Es necesario un marco normativo que arbitre el reparto de las inversiones necesarias para estar preparados ante escenarios extremos Escenarios que deben contemplarse Estrategias de mitigación

Especificar las obligaciones que deban asumir las entidades financieras, tanto públicas como privadas Tratando de evitar que los costes alteren el equilibrio competitivo

Plan Nacional de Continuidad del Negocio del Sector Financiero Roles y responsabilidades tanto en la planificación de las respuestas como en la

gestión de las mismas en caso de incidente Dependencias intra e inter-sectoriales

6


Contenido



7


¿Quién debe ser el propietario del PNCN del Sector Financiero?

La Continuidad del Negocio en el Sector Financiero debe ser contemplada en el contexto de la Estabilidad Financiera de un país

El PNCN del Sector Financiero debe ser propiedad de la instancia encargada de asegurar la Estabilidad Financiera Normalmente, una instancia en la que suelen estar representados los diferentes

supervisores de la industria financiera Caso español: el Comité Español de Estabilidad Financiera (CESFI) Ministerio de Economía, Banco de España y Comisión Nacional del Mercado de

Valores (CNMV)

8


Desafíos en la elaboración de un PNCN del Sector Financiero

Las “best practices” (p.e., ISO 22301) para elaborar un PCN tienen un gran desafío cuando se trata de un PNCN sectorial Análisis de Impacto Sectorial

Identificación de las funciones críticas del sector que deben tener continuidad Estrategia de Respaldo Sectorial

Los recursos alternativos a los de una entidad pueden ser los de otra entidad competidora Gestión de Crisis Sectorial

Se necesitarán estructuras de coordinación y procesos, operativos en todo el ámbito sectorial

9


Contenido



10


El caso Mizuho Financial Group Tsunami en Japón (11/3/2011)

Segundo mayor banco de Japón por activos Ranking a fecha de 31/3/2010 ($bill.)

Mitsubishi UFJ Financial Group: 2,196 Mizuho Financial Group: 1,637 Sumitomo Mitsui Financial group: 1,281

11

Viernes 11/3: Tsunami que afecta central

nuclear de Fukushima

Lunes 14/3: Mizuho Bank

experimenta un fallo en su

proceso diario de

transferencias

Viernes 18/3: Los fallos se han repetido

cada día. Más de $10 bill. pendientes.

Mizuho decide desactivar sus 38,000 cajeros, hasta el lunes 21 incluido.

Domingo 20/3: Banco de Japón

convoca a Mitsubishi, Mizuho y

Sumitomo para estudiar posibles

soluciones de contingencia

Martes 22/3: Se activan los

cajeros ubicados en

oficinas (3,500)

Jueves 24/3: Normalizadas

las operaciones en Mizuho Bank

Junio 2011: Dimite el

presidente de Mizuho, Satoru Nishibori, tras presentar los

resultados de la investigación

interna

Nov. 2011: Anuncio de

reestructuración del grupo Mizuho,

reduciendo más del 10% de la

plantilla


Contenido



12


TDD: una metodología basada en los ejercicios

Las “best practices” para el desarrollo de PCNs empiezan por el Análisis de Impacto en el Negocio (BIA) y acaban con los ejercicios

Aunque pueda resultar paradójico, empezar por los ejercicios en lugar de por el BIA puede ser una mejor aproximación al desarrollo de PCNs Especialmente cuando el BIA es muy complejo (p.e., en escenarios extremos)

Un PCN sectorial podría construirse así, de forma muy eficaz y eficiente, aplicando una adaptación de la metodología TDD (Test-Driven Development), utilizada en la industria del software

13


La metodología TDD aplicada al PNCN del Sector Financiero

Recursos (personales

y materiales)

Validar eficacia

mediante ejercicios

Registrar y subsanar lagunas

detectadas

Determinar objetivos

compatibles con los

ejercicios

Ajustar recursos u

objetivos de resiliencia

14

Activar el Plan Convocar Equipos de Gestión

de Crisis Evaluar impacto en el sector Evaluar impacto en otros

sectores con dependencias Informar sobre la situación Coordinar acciones sectoriales


Contenido



15


Un escenario extremo poco natural pero no tan improbable

Las situaciones extremas se asocian tradicionalmente, en su mayoría, con catástrofes naturales

La industria financiera goza de una notable resiliencia intrínseca ante estas situaciones Basada en el proceso de información Sus productos no requieren factorías ni logística física

Pero esa fortaleza se convierte en una debilidad ante un nuevo tipo de amenazas deliberadas (y por tanto con mayor probabilidad de ocurrir)

16


Del ciberataque…

17


… a la ciberguerra

18


Preocupación al más alto nivel

19


En resumen…

Es difícil que los PCNs individuales cubran escenarios extremos Especialmente en los casos de las entidades privadas por los costes que conllevan Pero si las situaciones extremas no están previstas en todo el sector financiero, no

serviría de mucho que, por ejemplo, el Banco Central las incluyese en su PCN Se requiere, por tanto, un marco sectorial, plasmado en un PNCN Las mejores prácticas existentes (ISO 22301) no son las más idóneas

para un PNCN Sugerimos una aproximación más pragmática La metodología TDD: elaboración iterativa del Plan, de lo sencillo a lo complejo,

guiados por la experiencia práctica (los ejercicios) Debemos plantearnos que, en el futuro inmediato, el escenario extremo

más probable y generalizado sea uno de ciberataque/ciberguerra De nuevo, incide en la necesidad de una normativa nacional (en la línea marcada

por el informe GAO) que delimite acciones que deben asumir las entidades, individual y sectorialmente, y acciones reservadas al Gobierno (Interior y Defensa).

20


GRACIAS POR SU ATENCIÓN

Plan Nacional de Continuidad del Negocio del Sector Financiero

Documents

Transcript of Plan Nacional de Continuidad del Negocio del Sector Financiero