continuidad del negocio y gestion de crisis
DESCRIPTION
TRANSCRIPT
Continuidad del Negocio y Gestión de Crisis
Mateo MartínezInformation Security Manager
April 10, 2023
Agenda
Introducción a BCM
Caso 1: Terremoto y Tsunami en Chile
Caso 2: DDoS en India
April 10, 2023
“No nos pasará a nosotros ” “Vamos a superarlo, Siempre lo hacemos” “Somos grandes como para caer” “No somos objetivo de terroristas” “Todo ha operado bien hasta ahora” “Tenemos aseguradora” “El riesgo es insignificante” “Nuestros Clientes comprenderán”
Mitos y realidad
La mayoría piensa que no tiene tiempo para dedicar a incidentes que nunca pasaran.
El 40% de las empresas que han sufrido desastres nunca pudieron volver a operar. De las que abrieron, casi el 30% cerraron a los 2 años.De las 930 empresas del WTC afectadas el 11/9, más de 550 cerraron 18 meses despuésLas empresas pueden perder el 75% de sus negocios después de un desastreEl negocio puede quedar destruido por la perdida de un activo crítico por más de 10 días.La pérdida de acceso al e-mail durante un día, ¿puede traerle serios daños al negocio?
Mitos Comunes
Lecciones aprendidas
Pérdida de negocios e ingresosImagen corporativaMultas y sancionesCuestionamiento de confiabilidadFuga de clientes y de recursosErosión del market shareEventual cierre del negocio
Impacto en el negocio
April 10, 2023
Habilidad estratégica y táctica de la organización para planificar y responder a incidentes y/o disrupciones del negocio para poder continuar operando en un nivel aceptable predefinido.
Business Continuity (BC)
Fuente: BS 25999-2:2007
Introducción - Definiciones
Business Continuity Plan (BCP)
El Business Continuity Plan (BCP) es una colección de documentos con procedimientos e información, desarrollada, compilada , mantenida y lista para utilizar durante una crisis para lograr que la organización continúe desarrollando sus actividades críticas en un nivel aceptado predefinido.
April 10, 2023
Es una situación que puede terminar en una disrupción del negocio, pérdidas, emergencias o Crisis
¿Qué es un Incidente?
¿Qué es un desaste?
Un evento repentino, no planificado que trae aparejados grandes daños y pérdidas. Todo evento que impide a la organización desarrollar sus funciones críticas del negocio durante un cierto período crítico de tiempo.
¿Qué es una Emergencia/Crisis?
Una emergencia es cualquier evento no planificado que puede causar muertes o lastimar a los empleados, clientes o público en general o que puede cortar la operativa del negocio, hacer cerrar el negocio, causar daños físicos o hacer perder imagen corporativa..
April 10, 2023
Planificar la Continuidad del Negocio es un pre-requisito clave para minimizar los efectos negativos de una de las más importantes areas del Riesgo Operacional: Disrupción del Negocio y fallas en los sistemas
Operations Risk Management
¿De qué depende la organización para operar?¿Qué puede suceder?¿Cuándo, Dónde y Cómo?¿Cuáles son los procesos y activos críticos?
April 10, 2023
Es un proceso de gestión para identificar las posibles amenazas para la organización que impactan en las operaciones del negocio.
Si estas amenazas ocurren debe proveer un marco de trabajo para lograr que la organización sea resiliente, con capacidades efectivas de respuesta que permitan proteger los intereses de los stakeholders, reputación de la empresa, imágen corporativa y valores
Business Continuity Management
April 10, 2023
Relación con otras guías y estándares
April 10, 2023
Recovery Time Objective (RTO)
Source - BS 25999-2:2007
Algunos términos
Recovery Point Objective (RPO)
Es el espacio de tiempo definido para:–Recuperación de la información, la más reciente posible –Basado en lo tiempos de caída y pérdida de datos aceptado–Indica el punto en el tiempo más cercano en el que las operaciones del negocio reanudarán después de un desastre
Es el tiempo definido después de un incidente para:–Reanudar la entrega de productos–Reanudar la performance de una actividad–Recuperar IT o Aplicaciones
April 10, 2023
1. Anaáisis y Definición de Requerimientos
Ciclo de vida de la Gestión de Riesgos Operacionales
- Define Objectives and Scope- Co-develop Expectations with Clients- Identify list of services rendered by TCS- Identify Service criticality to client business ops- Translate SLAs to permissible desired downtime- Map supporting resources against each services- derive RTO’s and RPO’s against each Services.2. Elaboración de Estrategia
- Identify Threats and Risks- Perform BI and Risk Assessment- Identify 3rd party vulnerabilities - Identify Gaps in Availability Required- Select the strategies for recovery- Possible risks to be transferred- Options to Terminate & suspend Risks
- Deploy resilient architecture - Identify Single Point of Failures- Identify capacity bottlenecks- Identify the team - Determine roles and responsibilities - Train respective towards action response
3. Implementación
- Develop the BC / DR plans- Draft the Crisis Response plan- Determine Incident response- Create communication plan- Publish the plans - Create awareness on the plans
- Review Plans and Strategies- Training and Awareness- Exercises, Simulations And Tests- Plan Maintenance Strategy - Identify possible Bottlenecks- Incorporate corrective actions
5. Validación y Pruebas
4. Desarrollar Planes
April 10, 2023
Componentes Fundamentales en BCM
Business Impact Analysis (BIA)
En un proceso indispensable para conocer como afecta el negocio según el tiempo en que no puede operar cierto proceso.
Identificar los procesos críticos del negocio.
Continuity Requirement Analysis
Estimar la probabilidad y el impacto a partir de amenazas conocidas.
Identificar las potenciales causas que pueden interrumpir la operativa normal a la organización. Se pueden tomar medidas para reducir la probabilidad de ocurrencia.
Risk Assessment (RA)
Estimar los recursos, edificios y servicios externos necesarios para cada actividad para lograr volver a la operativa normal.
April 10, 2023
Tips para planes efectivos
Guías Generales
Cada cliente tiene requerimientos únicos, para la continuidad del negocio y regulatorio.Determinar el alcance e identificar las funciones críticas del negocio.Identificar las interdependencias de los recursos para identificar servicios asociadosDeterminar una estrategia top-down que sea alineada a los requerimientos del negocio
El plan debe cubrir componentes básicos: QUIÉN, QUÉ, DÓNDE, CUANDO, CÓMO y PORQUÉAsegurarse de que no existan roles y tareas de contingencia “grises”Documentar el Business Impact Analysis (BIA) y la aceptación de RiesgosEl plan debe asegurar que incluye todos los activos necesarios para recuperarsePlanificar adecuadamente para cubrir a todos los recursos claveRevisión periódica de planes, revisión de lecciones aprendidas.Revisión de planes, BIA y RA respecto a los objetivos, así como cambios en los requerimientos operativos o en el entorno de operaciones.
Checklist para desarrollar un plan efectivo
April 10, 2023
Categorías de Riesgos Operativos
Edilicios y ambientales
Seguridad de la Información
Seguridad e Higiene
Frameworks de control
Legales
Corporate Governance Risks
Reputación
Comportamiento
Tecnológicos
Procesamiento
Gestión de Proyectos
Criminales
Recursos Humanos
Estratégicos
Regulatorios
Manejo de Información
Geopolíticos
Etica
Culturales
Climáticos
Proveedores
Alcance de la Gestión de Riesgos Operativos
April 10, 2023
Amenazas que impactan el Negocio
Naturales y Ambientales
Humanas Infraestructura
InundacionesIncendiosSequíaTornadosRayosHuracanesVolcanesGripes Aviar/Porcina TormentasTerremotos
Robo/ Sabotaje / VandalismoIncendioMotines y Distrubrios CivilesConflictos LaboralesAvisos de Bombas y HoaxCambios regulatorios o legalesViolencia en el puesto de trabajoTerrorismo y guerrasRiesgos químicos y biológicosErrores humanos en procesamiento
Caídas del sistemaFallas en el link de comunicacionesCortes de energíaFallas en componentes de la redIntrusosAtaques de virusProblemas de transporteProvisión de combustibleContaminación de agua o comida
April 10, 2023
Análisis de Impacto en el Negocio (BIA)
Identificar Unidades de Negocio de misión CríticaRealizar un análisis de vulnerabilidades (funcional y operacional)Describir las areas de soporte necesarias para que continue el flujo de ingresosDocumentar los resultados y presentar mejoras
4 pasos para desarrollar un BIA
Stage 1 – Asset Value (AV) Determined, based on its actual cost, or the cost of its replacement.
Stage 2 – Exposure Factor (EF), magnitude of loss or impact on the value of an asset against each risks
Stage 3 –Single Loss Expectancy (SLE), Represents one element of risk, the expected monetary effect of a
specific threat event. (SLE = AV * EF) Stage 4 – Annualized Rate of Occurrence (ARO), The frequency with which a threat is
expected to occur.Stage 5 – Annualized Loss Expectancy (ALE), expected monetary loss that can be
expected for an asset due to a risk over a one year period. (ALE = SLE * ARO )Criticality Prioritization - Every critical business unit must be identified and
prioritized.Downtime Estimation - help estimate the Maximum Tolerable level Downtime (MTD)
viable to Businesses.Resource Requirements - Resource requirements for the critical processes are also
identified at this time..
Metodología
Objetivos
April 10, 2023
Estrategias de Recuperación del Negocio
Reducir la toma de decisiones durante la crisis
April 10, 2023
Estrategias de Recuperación del Negocio
April 10, 2023
Propósito de las pruebas
Validar que la estrategia de BCP son efectivasFamiliarizar a los equipos de trabajo en sus roles, trazabilidad y responsabilidades ante una respuesta frente a Incidentes.Pruebas Técnicas, Logísticas, Adminitrativas respecto a los BCPs.Pruebas de recuperación de Infraestructura, que incluye Command Centers, Areas de Trabajo, Tecnología y TelecomunicacionesConcientización en los procedimientos ante emergenciasConcientización del significado de BCMOportunidad de Identificar atajos y mejoras en los planes
Los planes deben ser probados para verificar que funcionen y siempre es necesario probar la vuelta a la normalidad.
April 10, 2023
Tipos de pruebas
Caso 1: Terremoto y Tsunami en Chile
April 10, 2023
TCS gana el premio “Mejor Recuperación del Año” otorgado por el Business Continuity Institute
TCS se ha re-establecido como una organización con prácticas sólidas de continuidad de negocio al ganar el codiciado premio de "Mejor de Recuperación del Año '. El premio fue expedido por Instituto de Continuidad de Negocio (BCI)
Este reconocimiento se basa en el estudio de caso de cómo TCS pudo recuperar sus operaciones en Chile, cuando la mayoría del país se vio afectado por uno de los peores terremotos de los últimos tiempos (Magnitud de 8,8 en la escala de Richter). TCS opera desde varias ciudades en Chile realizando procesamiento de más del 80% de los cheques emitidos en el país. Esto en sí mismo dice mucho de la criticidad de negocio de la labor realizada por nuestros asociados.
April 10, 2023
Terremoto en Chile
Fecha y Hora27 de Febrero, 03:34 am
Magnitud8,8 Escala Richter
Duración 2 minutos 45 segundos Después del terremoto vino el Tsunami, que golpeó la costa entre las ciudades de Concepción y Constitución
April 10, 2023
Terremoto en Chile
April 10, 2023
Terremoto en Chile
April 10, 2023
Terremoto y Tsunami en Chile
April 10, 2023
Terremoto en ChileCrisis Efectos de la Terremoto de 8,8 grados y el tsunami posterior que sucedió en Chile en
la madrugada del 27-02-2010. La mayoría de las zonas afectadas por el terremoto se encuentran entre las regiones
chilenas de Valparaíso, Metropolitana de Santiago, O'Higgins, Maule, Bío Bío y Araucanía, que representa a más de 13 millones de ciudadanos - aproximadamente el 80% de la población del país.
El tsunami golpea la costa entre Constitución y las ciudades de Concepción Efectos sobre los edificios de TCS Chile y algunos de sus asociados
Impacto El terremoto afectó a la mayoría de la población chilena Hubo derrumbe de edificios, casas - hechas de adobe - se derrumbó completamente el
puente. Ha hecho difícil el movimiento y transporte de los vehículos de las primeras 48 horas
Interrupción del servicio eléctrico a nivel nacional El colapso de los sistemas de comunicación celular de todo el país y en todos los
niveles las empresas de telecomunicaciones Problemas con el suministro de combustible Problemas de la Red de Cajeros Automáticos, principalmente en las regiones
afectadas por el terremoto.
April 10, 2023
Terremoto y Tsunami en Chile
ImpactoTeniendo en cuenta los efectos del terremoto, el gobierno declaró el estado de emergencia debido a los saqueos que se produjeron en las zonas más afectadas.Había muchos edificios públicos y privados que se derrumbaron como escuelas, edificios municipales, hospitales, juzgados, que necesitaron un tiempo para reanudar las operaciones normales.
April 10, 2023
BCP DRPBilling&Accounting started at alternate site at 16:30pm, 1st
March10
Earthquake started at
3:34am, 27th Feb10
Chile - Curicó Earthquake Incident, 27th FebruaryBilling and Accounting Service and Global Link Recovery
Bus
ines
s C
ontin
uity
& D
isas
ter R
ecov
ery
Time
0.2 Ds
Electrical Service Restored.
Global Link directed to TCS Chile Internet
B&A Service restored in Comercial Area in Curicó 18.
2.6 Ds
Global Link Restored
2.7 Ds
Global recovery at 18:30 pm on
1st March10
Las Operaciones se recuperaron el 1° de Marzo
April 10, 2023
BCP DRPBilling&Accountig started at alternate site at 16:30pm, 1st
March10
Earthquake started at
3:34am, 27th Feb10
Chile - Curicó Earthquake Incident, 27th February1Billing and Accounting Operational Site Recovery B
usin
ess
Con
tinui
ty &
Dis
aste
r Rec
over
y
Time
2.6 Ds
Complete recovery at 09
am on 6th May10 ( Main
Site )
67 Ds
El retorno a la operativa normal fue el 9 de Mayo
April 10, 2023
BCP DRP
Complete Water recovery at 09am on 30th March10
The Electrical Service is restore at 15:09pm,
09th March10
Earthquake started at
3:34am, 27th Feb10
Chile - Concepción Earthquake Incident, 27th February10Electrical and Water services Recovery
Bus
ines
s C
ontin
uity
& D
isas
ter R
ecov
ery
Time
09 Ds
Electrical Service restored
Water Service Restored
21 Ds
Se restauró el servicio eléctrico y de agua el 10 de Marzo
April 10, 2023
BCP DRP
Complete Electrical
recovery at 09am on 09th March10
11 workstations operate with Generator in
standalone mode at 9am, 03th March10
Earthquake started at
3:34am, 27th Feb10
Chile - Buin Earthquake Incident, 27th February10Electrical Service Recovery B
usin
ess
Con
tinui
ty &
Dis
aste
r Rec
over
y
Time
3.7 Ds
Diesel Generator Installation
Electrical Service Restored
10.2 Ds
April 10, 2023
Inconvenientes
ResumenFuncionó Correctamente Mejoras
Foco
•Actualizar el BCP con procedimientos de contingencia para una mejor coordinación y gestión.•Poner a disposición radios de comunicación para el personal clave.•Poporcionar iluminación de emergencia en todas las áreas•Fortalecer la capacitación para activar Generador Eléctrico Grupo.•Considerar los aspectos sociales que se derivan en una situación crítica o catástrofe.•Definir un SPOC para informar y traer la calma a los asociados y sus familias en crisis•Definir un SPOC para comunicarse con el Cliente, así como empresas en crisis o emergencia mayor.
•Debido a que móvil y telefonía fija se han derrumbado, la coordinación primeras horas fue difícil, especialmente para activar el Comité de Emergencia. Hubo una pérdida de comunicación con la sala de servidores.•La falta de sistema de comunicación efectivo para el personal clave (radios, por ejemplo). mecanismo de llamada árbol definido no era operable.•Lista de los empleados no se ha actualizado con el último contacto de información detallada, por lo tanto, era difícil llegar a los asociados en las horas pico•La ausencia de un procedimiento establecido para ir a ayudar a los asociados afectados
•Consolidar y analizar las lecciones aprendidas•Actualizar el correspondiente BCP•Generación de pruebas para asegurarse de que los principales problemas detectados se han corregido o mejorado•Generar el informe diario sobre la construcción de Buin•Habilitar el grupo electrógeno en Buin.
•Se establecio El Comité de Emergencia•Apoyo a los asociados Concepcción afectados. El envío del equipo de Operación y Logística.•Preventiva de Inspección de Edificios para garantizar el acceso de los asociados Chile•Decisión sobre la reparación de edificios dañados y la adquisición de Grupo Generador Eléctrico de Buin construcción•Desbloqueo del control de acceso•suspensión definitiva ascensor•Comunicación para empresas y clientes sobre el estado de Chile GDC•Obtener el informe de lecciones aprendidas
Buena comunicación y buena gestión fueron las claves para el éxito
Caso 2: Ataque Distribuido de Denegación de Servicio
April 10, 2023
Ataques contra India
April 10, 2023
¿De dónde provienen los ataques?
Fuente: akaimai.com
April 10, 2023
Servicios de TCS de detección y mitigación de DDoS protegieron IndiaBetter Bandwidth Utilization with Network-based DefenseAs a Tier-1 provider with a global IP network with 1.5Tbpscapacity meshed with 10G backbones,
Tata Communications’network ranks in the top 10 of all worldwide autonomous systems with over 1,000Gbit/s of peering connectivity.
By removing attack traffic within the Tata Communications’ IPbackbone, the Internet Clean Pipe solution rapidly clearsthreats in the cloud before they hit the customer network.
The solution also provides users with multiple bandwidthspeeds and ensures optimal bandwidth usage.
El ataque fue filtrado a nivel de Backbone
de Tata Communications con ayuda de
TCS, antes de que los clientes fueran
impactados
April 10, 2023
Referencias
http://www.thebci.org/
http://www.continuitycentral.com/
http://www.bcmpedia.org/