Download - Por que BCP
Por que un
Plan de Continuidad de Negocios en IT
Msc Franz Heredia Gomez
Agosto 2012
Informacion disponible con seguridad permanente
Las estadisticas nos dicen todo
Integrar BCP/DR es posible
Agenda
Estadisticas sobre BCP Todos deberiamos saber …
Formas tradicionales
de justificar un BCP
Diseminacion de los costos
Optimizacion de procesos
Experiencias previas sobre desastres
Experiencias en desastres ajenos
Modelos de ROI (retorno de inversion)
Benchmark contra estandares
Y por supuesto miedo,
incertidumbre y duda . . .
BCP – La gran interrogante
Ahora veremos
nuevas formas de
interpretar un BPC
Veamos estas aproximaciones
Estamos Listos ?
BCP – La gran interrogante
Ser empresa es un desafio
…grande o pequeña, es
igual!
43% de las compañias que experimentan desastres nunca se recuperan
25% de las que no desaparecen se cierran en los siguientes doce meses
90% de los negocios que tienen perdidas en TI se cierran en los proximos dos años
80% de empresas que no cuentan con un Plan de Recuperacion de Desastres se cierran en los siguientes 12 meses
Estadisticas conocidas
Las estadisticas
son relevantes
mas aun en epocas de
continuos y diversos
desastres naturales
50% de las compañias que sufren repetitivos apagones tecnologicos se cierran en los siguientes 5 años
Las compañias con desastres tecnologicos de mas de 10 dias nunca recuperan su capacidad operativa ni financiera
43% de las compañias que tienen un BCP no lo prueban anualmente
Uno de cada 500 centros de computo sufren severas caidas del sistema cada año
Mas estadisticas
Es realmente posible?
La evaluacion de resultados parece ser un
verdadero soporte ante
desastres.
Interesante…
Uno de cada ocho empresas en USA informa haber experimentado disminucion en sus tasas de seguro debido al desarrollo e implementacion de un exhaustivo
Business Continuity Program.
- 2005 Joint Survey of 639 Users
Strohl Systems and The CPM Group
Estos son elementos de mucha
importancia
24% dijeron que han obtenido un mesurado retorno de la inversion a traves del establecimiento de un business continuity program
41% hicieron benchmarking de sus programas contra los de otras firmas de su industria o region geografica
- 2005 Joint Survey of 639 Users
Strohl Systems and The CPM Group
Y es mas ….
No se consideraron
entidades bancarias….
Cual seria el costo de
inactividad en su
actividad?
Realmente conoce este
costo?
42% - Desconocen
38% - Mas de $50,000
9% - Entre $10,001 y $50,000
6% - Entre $1,001 y $10,000
4% - Menos de $1,000
- 2005 Joint Survey of 639 Users
Strohl Systems and The CPM Group
Costos de inactividad por hora….
Como se cataloga su
empresa?
Las areas de inversion mas alta en IT son:
tecnologia (85%), business continuity (60%), y operaciones (58%)
67% identifican como "adcuada" la proteccion que han incorporado en la proteccion de informacion critica de su negocio
73% identifican como "adecuada" su habilidad para identificar vulnerabilidades de TI
65% identifica como "adecuada" su capacidad de identificar ataques en sus sistemas de informacion
- 2003 Survey of Canadian CIOs and CISOs
Ernst & Young
Seguridad de la informacion
El tema ha sido
estudiado por varios años.
Que extension en millas tiene el respaldo en cinta (externo)?
0-10 – 28.0% 10-25 – 36.4% 25-50 –17.8% 50+ – 17.8%
De un total de: 4675
- 2003 DRJ Surveys
Recuperacion de desastres…
Y que del presupuesto? Cual es su presupuesto anual asignado en BCP y
RD (en dolares americanos)?
Menos de 100,000 – 30.5% 100,000-500,000 – 29.1% 500,000-1 millon –13.8%
Mas de 1 millon – 26.6%
De un total de: 3451
- 2003 DRJ Surveys
Recuperacion de desastres…
Cual la verdadera
causa de los desastres en
IT?
Que ha causado la interrupcion de sus negocios?
Error humano – 43.4% Caidas de energia – 39.0% Desastres Naturales – 8.8% Otros– 6.6% Terorismo/sabotaje – 1.5% Problemas laborales– 0.7%
De un total de: 2584
- 2003 DRJ Surveys
Recuperacion de desastres…
Como nos comparamos
con estas firmas?
38% tienen alguna forma de plan de BC/DR y 40% no tiene idea del tiempo que le toma
retornar al nivel normal de operacion 28% indican poder reiniciar operaciones
basicas en menos de 12 horas 3% pueden continuar sus operaciones de
forma normal
- 2004 Veritas Survey
of 1258 IT Professionals
Conozcamos estos datos…
Como nos comparamos
con estas firmas?
Razones para implementar planes de RD en IT 37% Fallas de software 26% Virus y hackers 14% Desastres naturales 13% Incidentes internos 10% Actuacion humana (guerra/motines)
- 2004 Veritas Survey
of 1258 IT Professionals
Y estos otros…
Numeros de gran utilidad En anteriores años el impacto en los negocios
fueron:
62% Reduccion en la productividad
40% Reduccion de utilidades
38% Perjuicios en la relacion con clientes
- 2004 Veritas Survey
of 1258 IT Professionals
El Impacto en los negocios
Datos dificiles de
creer
Dos tercios de compañias que sufrieron desastres en IT experimentaron perdidas en sus negocios.
16% perdieron $100K - $500K por dia
26% no dimensionaron las perdidas diarias
Menos de la mitad de las compañias que sufrieron interrupciones por desastres actualizaron su BCP en los ultimos seis meses
40+% no poseen servidores redundantes o sitios alternos de respaldo para actividades criticas del negocio
30% no tienen implementados elementos basicos de proteccion como firewalls, deteccion de intrusos o autenticacion de claves de acceso.
- 2005 AT&T and IAEM Survey
of 1200 businesses
AT&T y el IAEM (International
association of emergency managers)
No debieramos
estar incluidos…
98% de todas las compañias son proclibes a ser afectados por caidas no planificadas
- IDC Research
93% de las firmas que tuvierno alguna perdida de datos significativa estan fuera de los negocios en los proximos cinco años
- Gartner
International Data Corporation y el
Gartner group…
La Camara de Comercio de
Londres evaluo a mas de 4000
empresas pequeñas y
medianas
83% de la PyMES no tienen definidas politicas de seguridad ni planes de contingencia
17% si los tienen
20% de las PyMES mas grandes tienen politicas y planes contra desastres
10% de las que cuentan con estas politicas y planes las ejercitan y entrenan a su personal en su aplicacion
Por el contrario…
80% de las empresas mas grandes se contentan con disponer de unicamente planes de respaldo
Pymes en Londres ….
CPM y Deloitte han estado efectuando
evaluaciones anuales sobre
seguridad
Estudios de Deloitte & Touche / CPM
BCP’s have not been developed or documented.
Enterprise BCM - Status of Business Continuity Programs
Which of these statements best describes the current state of your organization’s Business Continuity Management program?
4.4% 5.9%
Alternative Responses 2004 2005 Trend
BCP’s are currently being developed. 21.1% 10.6%
BCP’s have been developed and documented for a limited number of business functions.
33.3% 13.6%
BCP’s have been developed or documented for most critical business functions.
19.4% 28.2%
An enterprise-wide business continuity management program has been established for all critical functions.
21.7% 41.8%
InterpretationEnterprise business continuity program development has taken hold, with implementation being report by at least 70% of respondent companies.Source: Deloitte & Touche / CPM Group
2005 Business Continuity Benchmark Survey
Deloitte & Touche / CPM Survey
Source: Deloitte & Touche / CPM Group
2005 Business Continuity Benchmark Survey
Awareness of regulatory requirements is limited to internal audit and compliance functions.
Regulatory Drivers – Status of Regulatory Compliance
Which of these statements best describes the current state of your organization’s regulatory and industry compliance?
20.6% 13.2%
Alternative Responses 2004 2005 Trend
Business units are aware of regulatory, compliance, legal, and industry issues affecting them.
25.6% 26.4%
A BIA is performed periodically to identify legal/regulatory issues and quantify potential fines or penalties.
12.8% 11.7%
Executives understand existing regulatory issues, and the organization is fully compliant with minimal audit exceptions.
35.6% 38.1%
The organization maintains membership on regulatory boards and works to constructively influence regulatory direction.
5.6% 10.6%
InterpretationExecutive management is becoming increasingly focused on the regulatory side of business continuity, placing greater emphasis on the need measure and monitor compliance.
Estudios de Deloitte & Touche / CPM
Source: Deloitte & Touche / CPM Group
2005 Business Continuity Benchmark Survey
Zero tolerance for downtime
Management Tolerance – Core Business Recovery Times
If your core business function operations are interrupted, what is your organization's tolerance for downtime (i.e., recovery time objectives) for
your most critical activities?
5.6% 12.1%
Alternative Responses 2004 2005 Trend
InterpretationTolerance for downtime continues to decline in most organizations, with Recovery Time Objectives for core business functions being established in hours not days.
Less than two hours 18.3% 16.1%
Two to eight hours 19.0%
Eight to 24 hours 27.1%
24 to 72 hours 17.9%
72 hours to 5 days 5.9%
Greater than 5 days 1.9%
43.9%
13.3%
6.7%
Estudios de Deloitte & Touche / CPM
Source: Deloitte & Touche / CPM Group
2005 Business Continuity Benchmark Survey
NFPA 1600 has not been adopted or implemented as a business continuity standards.
Adoption Rates – ANSI NFPA 1600 Standard
In its report to Congress and the American People, the 9/11 Commission endorsed ANSI NFPA 1600 Standards on
Disaster/Emergency Management and BC Programs for
private sector preparedness.
66.7%
Alternative Responses Percent
NFPA 1600 has been reviewed for possible benefits, but has not been adopted or implemented.
21.6%
NFPA 1600 has been adopted as a business continuity standard, but implementation is still pending.
2.9%
NFPA 1600 has been adopted and partially implemented at this time.
4.0%
NFPA 1600 has been adopted and fully implemented. 4.8%
Question - To what extent has your organization adopted and
implemented NFPA 1600 as part of your business continuity and emergency management program?
Datos particularmente
interesantes
Estudios utilizados en este trabajo…
• 2005 Strohl Systems / CPM Surveys
• 2005 Deloitte & Touche / CPM Benchmark Survey
• 2005 ACP/Pre-Empt Survey “How Far is Far Enough?”
• 2005 EnvoyWorldWide “Trends in Business Continuity and Risk Management” Survey
• 2004 Veritas “Disaster Recovery Research”
• 2005 AT&T and IAEM Survey of 1200 businesses
• 2003 London Chamber of Commerce and Industry “Disaster Recovery: Business Tips for Survival”
• 2003 Disaster Recovery Journal Surveys
• 2003 Ernst & Young Global Information Security Survey
Integrar BPC/DR Si es posible….
La gran interrogante
Podemos demostrar que:
Seguridad de la Informacion, Recuperacion de Desastres y Plan de Continuidad del Negocio pueden interpretarse como “controles”?
El desafio ….
Considerando que nuestro trabajo es registrar, procesar, acondicionar y reportar informacion, debemos primero identificar las situaciones de las que depende la realizacion exitosa de nuestras actividades.
Paso por paso ….
Actividades fundamentales Si estamos almacenando informacion, asumamos
que necesitamos un lugar para depositarla.
Si la estamos procesando, necesitaremos una infraestructura tecnologica segura y un ambiente operativo protegido donde hacerlo.
Si estamos sumarizando y reportando informacion, asumimos que tambien necesitamos un entorno protegido ademas de acceso a un ambiente seguro de comunicaciones para transferirla a sus destinatarios.
Por tanto…
Lo que debemos lograr
….
Suponiendo que podemos crear un ambiente que facilita las condiciones descritas y que puede documentarse, entonces somos capaces de cumplir cualquier exigencia de auditoria en seguridad
Suena demasiado facil?
Definiciones
Controles
“…La regulacion de actividades economicas, especialmente directrices de gobierno (usados generalmente en plural: controles de precio …). – Merriam Webster Dictionary
Por tanto buscamos algo que efectivamente regule (mantenga el orden y uniformidad) sobre algo.
Analisis
Aseguremonos que toda accion
puede ser monitoriada y
evaluada
Por tanto queremos asegurarnos que algunas funciones son desarrolladas correctamente y que tenemos medios para validar dichas acciones para propositos de control y auditoria.
Analisis
Bingo!
Trasponiendo esta logica ….
Queremos identificar y prevenir situaciones que amenazan una continua ejecucion de las funciones de almacenamiento, procesamiento, preparacion y reporte de la informacion.
Entonces ….
Tres actividades que apuntan al objetivo son: Seguridad de la Informacion, Recuperacion de Desastres y Continuidad del Negocio.
Otras definiciones
Disponemos ahora de
controles? Continuidad del Negocio – Proceso integral de gestion que identifica
riesgos con impactos poetnciales en las actividades economicas,
proporcionan una estructura para generar elasticidad y respuestas
efectivas para resguardar los intereses de los inversionistas, reputacion
de la firma, renombre de la marca y otras de creacion de valor..
Recuperacion de Desastres – Actividades y programas diseñados para
retornar a estados operativos aceptables, orientados a la restauracion de
funciones operativas y tecnologicas criticas de la organizacion.
Seguridad de la Informacion – Modelos de resguardo de la
informacion sensible en formato electronico de una organizacion. ISO
17799 define buenas practicas en mecanismo de aseguramiento de la
informacion incluyendo estructuras de manejo, objetivos y requisitos de
control.
Conclusion
En consecuencia…
Podemos afirmar que en el ambito de la seguridad de las TIC’s, Los Planes de Continuidad del Negocio, asi como los de Recuperacione de Desastres, constituyen pilares fundamentales y garantia de exito en nuestros objetivos
Muchas Gracias