Por que BCP

Por que un

Plan de Continuidad de Negocios en IT

Msc Franz Heredia Gomez

Agosto 2012

Informacion disponible con seguridad permanente

Las estadisticas nos dicen todo

Integrar BCP/DR es posible

Agenda

Estadisticas sobre BCP Todos deberiamos saber …

Formas tradicionales

de justificar un BCP

Diseminacion de los costos

Optimizacion de procesos

Experiencias previas sobre desastres

Experiencias en desastres ajenos

Modelos de ROI (retorno de inversion)

Benchmark contra estandares

Y por supuesto miedo,

incertidumbre y duda . . .

BCP – La gran interrogante

Ahora veremos

nuevas formas de

interpretar un BPC

Veamos estas aproximaciones

Estamos Listos ?

BCP – La gran interrogante

Ser empresa es un desafio

…grande o pequeña, es

igual!

43% de las compañias que experimentan desastres nunca se recuperan

25% de las que no desaparecen se cierran en los siguientes doce meses

90% de los negocios que tienen perdidas en TI se cierran en los proximos dos años

80% de empresas que no cuentan con un Plan de Recuperacion de Desastres se cierran en los siguientes 12 meses

Estadisticas conocidas

Las estadisticas

son relevantes

mas aun en epocas de

continuos y diversos

desastres naturales

50% de las compañias que sufren repetitivos apagones tecnologicos se cierran en los siguientes 5 años

Las compañias con desastres tecnologicos de mas de 10 dias nunca recuperan su capacidad operativa ni financiera

43% de las compañias que tienen un BCP no lo prueban anualmente

Uno de cada 500 centros de computo sufren severas caidas del sistema cada año

Mas estadisticas

Es realmente posible?

La evaluacion de resultados parece ser un

verdadero soporte ante

desastres.

Interesante…

Uno de cada ocho empresas en USA informa haber experimentado disminucion en sus tasas de seguro debido al desarrollo e implementacion de un exhaustivo

Business Continuity Program.

- 2005 Joint Survey of 639 Users

Strohl Systems and The CPM Group

Estos son elementos de mucha

importancia

24% dijeron que han obtenido un mesurado retorno de la inversion a traves del establecimiento de un business continuity program

41% hicieron benchmarking de sus programas contra los de otras firmas de su industria o region geografica



Y es mas ….

No se consideraron

entidades bancarias….

Cual seria el costo de

inactividad en su

actividad?

Realmente conoce este

costo?

42% - Desconocen

38% - Mas de $50,000

9% - Entre $10,001 y $50,000

6% - Entre $1,001 y $10,000

4% - Menos de $1,000



Costos de inactividad por hora….

Como se cataloga su

empresa?

Las areas de inversion mas alta en IT son:

tecnologia (85%), business continuity (60%), y operaciones (58%)

67% identifican como "adcuada" la proteccion que han incorporado en la proteccion de informacion critica de su negocio

73% identifican como "adecuada" su habilidad para identificar vulnerabilidades de TI

65% identifica como "adecuada" su capacidad de identificar ataques en sus sistemas de informacion

- 2003 Survey of Canadian CIOs and CISOs

Ernst & Young

Seguridad de la informacion

El tema ha sido

estudiado por varios años.

Que extension en millas tiene el respaldo en cinta (externo)?

0-10 – 28.0% 10-25 – 36.4% 25-50 –17.8% 50+ – 17.8%

De un total de: 4675

- 2003 DRJ Surveys

Recuperacion de desastres…

Y que del presupuesto? Cual es su presupuesto anual asignado en BCP y

RD (en dolares americanos)?

Menos de 100,000 – 30.5% 100,000-500,000 – 29.1% 500,000-1 millon –13.8%

Mas de 1 millon – 26.6%


- 2003 DRJ Surveys


Cual la verdadera

causa de los desastres en

IT?

Que ha causado la interrupcion de sus negocios?

Error humano – 43.4% Caidas de energia – 39.0% Desastres Naturales – 8.8% Otros– 6.6% Terorismo/sabotaje – 1.5% Problemas laborales– 0.7%


- 2003 DRJ Surveys


Como nos comparamos

con estas firmas?

38% tienen alguna forma de plan de BC/DR y 40% no tiene idea del tiempo que le toma

retornar al nivel normal de operacion 28% indican poder reiniciar operaciones

basicas en menos de 12 horas 3% pueden continuar sus operaciones de

forma normal

- 2004 Veritas Survey

of 1258 IT Professionals

Conozcamos estos datos…

Como nos comparamos

con estas firmas?

Razones para implementar planes de RD en IT 37% Fallas de software 26% Virus y hackers 14% Desastres naturales 13% Incidentes internos 10% Actuacion humana (guerra/motines)



Y estos otros…

Numeros de gran utilidad En anteriores años el impacto en los negocios

fueron:

62% Reduccion en la productividad

40% Reduccion de utilidades

38% Perjuicios en la relacion con clientes



El Impacto en los negocios

Datos dificiles de

creer

Dos tercios de compañias que sufrieron desastres en IT experimentaron perdidas en sus negocios.

16% perdieron $100K - $500K por dia

26% no dimensionaron las perdidas diarias

Menos de la mitad de las compañias que sufrieron interrupciones por desastres actualizaron su BCP en los ultimos seis meses

40+% no poseen servidores redundantes o sitios alternos de respaldo para actividades criticas del negocio

30% no tienen implementados elementos basicos de proteccion como firewalls, deteccion de intrusos o autenticacion de claves de acceso.

- 2005 AT&T and IAEM Survey

of 1200 businesses

AT&T y el IAEM (International

association of emergency managers)

No debieramos

estar incluidos…

98% de todas las compañias son proclibes a ser afectados por caidas no planificadas

- IDC Research

93% de las firmas que tuvierno alguna perdida de datos significativa estan fuera de los negocios en los proximos cinco años

- Gartner

International Data Corporation y el

Gartner group…

La Camara de Comercio de

Londres evaluo a mas de 4000

empresas pequeñas y

medianas

83% de la PyMES no tienen definidas politicas de seguridad ni planes de contingencia

17% si los tienen

20% de las PyMES mas grandes tienen politicas y planes contra desastres

10% de las que cuentan con estas politicas y planes las ejercitan y entrenan a su personal en su aplicacion

Por el contrario…

80% de las empresas mas grandes se contentan con disponer de unicamente planes de respaldo

Pymes en Londres ….

CPM y Deloitte han estado efectuando

evaluaciones anuales sobre

seguridad

Estudios de Deloitte & Touche / CPM

BCP’s have not been developed or documented.

Enterprise BCM - Status of Business Continuity Programs

Which of these statements best describes the current state of your organization’s Business Continuity Management program?

4.4% 5.9%

Alternative Responses 2004 2005 Trend

BCP’s are currently being developed. 21.1% 10.6%

BCP’s have been developed and documented for a limited number of business functions.

33.3% 13.6%

BCP’s have been developed or documented for most critical business functions.

19.4% 28.2%

An enterprise-wide business continuity management program has been established for all critical functions.

21.7% 41.8%

InterpretationEnterprise business continuity program development has taken hold, with implementation being report by at least 70% of respondent companies.Source: Deloitte & Touche / CPM Group

2005 Business Continuity Benchmark Survey

Deloitte & Touche / CPM Survey

Source: Deloitte & Touche / CPM Group


Awareness of regulatory requirements is limited to internal audit and compliance functions.

Regulatory Drivers – Status of Regulatory Compliance

Which of these statements best describes the current state of your organization’s regulatory and industry compliance?

20.6% 13.2%


Business units are aware of regulatory, compliance, legal, and industry issues affecting them.

25.6% 26.4%

A BIA is performed periodically to identify legal/regulatory issues and quantify potential fines or penalties.

12.8% 11.7%

Executives understand existing regulatory issues, and the organization is fully compliant with minimal audit exceptions.

35.6% 38.1%

The organization maintains membership on regulatory boards and works to constructively influence regulatory direction.

5.6% 10.6%

InterpretationExecutive management is becoming increasingly focused on the regulatory side of business continuity, placing greater emphasis on the need measure and monitor compliance.




Zero tolerance for downtime

Management Tolerance – Core Business Recovery Times

If your core business function operations are interrupted, what is your organization's tolerance for downtime (i.e., recovery time objectives) for

your most critical activities?

5.6% 12.1%


InterpretationTolerance for downtime continues to decline in most organizations, with Recovery Time Objectives for core business functions being established in hours not days.

Less than two hours 18.3% 16.1%

Two to eight hours 19.0%

Eight to 24 hours 27.1%

24 to 72 hours 17.9%

72 hours to 5 days 5.9%

Greater than 5 days 1.9%

43.9%

13.3%

6.7%




NFPA 1600 has not been adopted or implemented as a business continuity standards.

Adoption Rates – ANSI NFPA 1600 Standard

In its report to Congress and the American People, the 9/11 Commission endorsed ANSI NFPA 1600 Standards on

Disaster/Emergency Management and BC Programs for

private sector preparedness.

66.7%

Alternative Responses Percent

NFPA 1600 has been reviewed for possible benefits, but has not been adopted or implemented.

21.6%

NFPA 1600 has been adopted as a business continuity standard, but implementation is still pending.

2.9%

NFPA 1600 has been adopted and partially implemented at this time.

4.0%

NFPA 1600 has been adopted and fully implemented. 4.8%

Question - To what extent has your organization adopted and

implemented NFPA 1600 as part of your business continuity and emergency management program?

Datos particularmente

interesantes

Estudios utilizados en este trabajo…

• 2005 Strohl Systems / CPM Surveys

• 2005 Deloitte & Touche / CPM Benchmark Survey

• 2005 ACP/Pre-Empt Survey “How Far is Far Enough?”

• 2005 EnvoyWorldWide “Trends in Business Continuity and Risk Management” Survey

• 2004 Veritas “Disaster Recovery Research”

• 2005 AT&T and IAEM Survey of 1200 businesses

• 2003 London Chamber of Commerce and Industry “Disaster Recovery: Business Tips for Survival”

• 2003 Disaster Recovery Journal Surveys

• 2003 Ernst & Young Global Information Security Survey

Integrar BPC/DR Si es posible….

La gran interrogante

Podemos demostrar que:

Seguridad de la Informacion, Recuperacion de Desastres y Plan de Continuidad del Negocio pueden interpretarse como “controles”?

El desafio ….

Considerando que nuestro trabajo es registrar, procesar, acondicionar y reportar informacion, debemos primero identificar las situaciones de las que depende la realizacion exitosa de nuestras actividades.

Paso por paso ….

Actividades fundamentales Si estamos almacenando informacion, asumamos

que necesitamos un lugar para depositarla.

Si la estamos procesando, necesitaremos una infraestructura tecnologica segura y un ambiente operativo protegido donde hacerlo.

Si estamos sumarizando y reportando informacion, asumimos que tambien necesitamos un entorno protegido ademas de acceso a un ambiente seguro de comunicaciones para transferirla a sus destinatarios.

Por tanto…

Lo que debemos lograr

….

Suponiendo que podemos crear un ambiente que facilita las condiciones descritas y que puede documentarse, entonces somos capaces de cumplir cualquier exigencia de auditoria en seguridad

Suena demasiado facil?

Definiciones

Controles

“…La regulacion de actividades economicas, especialmente directrices de gobierno (usados generalmente en plural: controles de precio …). – Merriam Webster Dictionary

Por tanto buscamos algo que efectivamente regule (mantenga el orden y uniformidad) sobre algo.

Analisis

Aseguremonos que toda accion

puede ser monitoriada y

evaluada

Por tanto queremos asegurarnos que algunas funciones son desarrolladas correctamente y que tenemos medios para validar dichas acciones para propositos de control y auditoria.

Analisis

Bingo!

Trasponiendo esta logica ….

Queremos identificar y prevenir situaciones que amenazan una continua ejecucion de las funciones de almacenamiento, procesamiento, preparacion y reporte de la informacion.

Entonces ….

Tres actividades que apuntan al objetivo son: Seguridad de la Informacion, Recuperacion de Desastres y Continuidad del Negocio.

Otras definiciones

Disponemos ahora de

controles? Continuidad del Negocio – Proceso integral de gestion que identifica

riesgos con impactos poetnciales en las actividades economicas,

proporcionan una estructura para generar elasticidad y respuestas

efectivas para resguardar los intereses de los inversionistas, reputacion

de la firma, renombre de la marca y otras de creacion de valor..

Recuperacion de Desastres – Actividades y programas diseñados para

retornar a estados operativos aceptables, orientados a la restauracion de

funciones operativas y tecnologicas criticas de la organizacion.

Seguridad de la Informacion – Modelos de resguardo de la

informacion sensible en formato electronico de una organizacion. ISO

17799 define buenas practicas en mecanismo de aseguramiento de la

informacion incluyendo estructuras de manejo, objetivos y requisitos de

control.

Conclusion

En consecuencia…

Podemos afirmar que en el ambito de la seguridad de las TIC’s, Los Planes de Continuidad del Negocio, asi como los de Recuperacione de Desastres, constituyen pilares fundamentales y garantia de exito en nuestros objetivos

Muchas Gracias

Por que BCP

Documents

Transcript of Por que BCP