Limitaciones de un PCN en situaciones extremas

Plan de Continuidad de Negocio del Sector Financiero
Una necesidad en Situaciones Extremas
Ramón Galián
Responsable de la Unidad de Continuidad de Negocio
Banco de España
Conferencia sobre Planes de Contingencia y Continuidad del Negocio en Situaciones
Extremas
Lima, 1-2/04/2013
Contenido




Limitaciones de un PCN en situaciones extremas
Plan Nacional de Continuidad del Negocio del Sector Financiero
Un caso de estudio: Mizuho Financial Group
Metodología Test-Driven Development (TDD) aplicada al desarrollo de
planes de continuidad
 Un escenario extremo poco natural pero no tan improbable
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
2
Contenido




Limitaciones de un PCN en situaciones extremas
Plan Nacional de Continuidad del Negocio del Sector Financiero
Un caso de estudio: Mizuho Financial Group
Metodología Test-Driven Development (TDD) aplicada al desarrollo de
planes de continuidad
 Un escenario extremo poco natural pero no tan improbable
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
3
¿A qué puede tener que enfrentarse un Banco
Central en un escenario “extremo”?
 Los “clientes” del BC pueden experimentar tales problemas que ni
siquiera estén en condiciones de recibir los servicios del BC
 Los bancos, las bolsas, las cámaras de compensación, etc.
 Los “proveedores” del BC puede que tampoco estén en condiciones de
prestar los servicios básicos que el BC necesita para su funcionamiento
 Agua, energía, comunicaciones, etc.
 En este tipo de escenarios, puede llegar a interrumpirse el negocio de
todo el sector financiero o, al menos, de una parte significativa del
mismo
 Afectando, por tanto, a la estabilidad financiera del país
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
4
Limitaciones de un PCN convencional en casos
extremos
 Las entidades privadas tenderán a no cubrir en sus PCNs estos
escenarios
 Los costes que habrían de asumir les restarían competitividad
 Tentación de considerarlos riesgos residuales
 En situaciones extremas, el Banco Central podría llegar a tener
exigencias superiores a las de su régimen normal de funcionamiento
 Sin embargo, un PCN convencional suele tener como objetivo respuestas en
régimen “degradado”
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
5
Necesidad de un Plan de ámbito sectorial
 Es necesario un marco normativo que arbitre el reparto de las
inversiones necesarias para estar preparados ante escenarios extremos
 Escenarios que deben contemplarse
 Estrategias de mitigación
 Especificar las obligaciones que deban asumir las entidades financieras,
tanto públicas como privadas
 Tratando de evitar que los costes alteren el equilibrio competitivo
 Plan Nacional de Continuidad del Negocio del Sector Financiero
 Roles y responsabilidades tanto en la planificación de las respuestas como en la
gestión de las mismas en caso de incidente
 Dependencias intra e inter-sectoriales
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
6
Contenido




Limitaciones de un PCN en situaciones extremas
Plan Nacional de Continuidad del Negocio del Sector Financiero
Un caso de estudio: Mizuho Financial Group
Metodología Test-Driven Development (TDD) aplicada al desarrollo de
planes de continuidad
 Un escenario extremo poco natural pero no tan improbable
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
7
¿Quién debe ser el propietario del PNCN del Sector
Financiero?
 La Continuidad del Negocio en el Sector Financiero debe ser
contemplada en el contexto de la Estabilidad Financiera de un país
 El PNCN del Sector Financiero debe ser propiedad de la instancia
encargada de asegurar la Estabilidad Financiera
 Normalmente, una instancia en la que suelen estar representados los diferentes
supervisores de la industria financiera
 Caso español: el Comité Español de Estabilidad Financiera (CESFI)
 Ministerio de Economía, Banco de España y Comisión Nacional del Mercado de
Valores (CNMV)
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
8
Desafíos en la elaboración de un PNCN del Sector
Financiero
 Las “best practices” (p.e., ISO 22301) para elaborar un PCN tienen un
gran desafío cuando se trata de un PNCN sectorial
 Análisis de Impacto Sectorial

Identificación de las funciones críticas del sector que deben tener continuidad
 Estrategia de Respaldo Sectorial

Los recursos alternativos a los de una entidad pueden ser los de otra entidad competidora
 Gestión de Crisis Sectorial
 Se necesitarán estructuras de coordinación y procesos, operativos en todo el ámbito
sectorial
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
9
Contenido




Limitaciones de un PCN en situaciones extremas
Plan Nacional de Continuidad del Negocio del Sector Financiero
Un caso de estudio: Mizuho Financial Group
Metodología Test-Driven Development (TDD) aplicada al desarrollo de
planes de continuidad
 Un escenario extremo poco natural pero no tan improbable
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
10
El caso Mizuho Financial Group
Tsunami en Japón (11/3/2011)
 Segundo mayor banco de Japón por activos
 Ranking a fecha de 31/3/2010 ($bill.)



Mitsubishi UFJ Financial Group:
Mizuho Financial Group:
Sumitomo Mitsui Financial group:
Viernes 18/3:
Los fallos se
han repetido
cada día. Más
de $10 bill.
pendientes.
Mizuho decide
desactivar sus
38,000 cajeros,
hasta el lunes
21 incluido.
Viernes 11/3:
Tsunami que
afecta central
nuclear de
Fukushima
Lunes 14/3:
Mizuho Bank
experimenta un
fallo en su
proceso diario
de
transferencias
2,196
1,637
1,281
Junio 2011:
Dimite el
presidente de
Mizuho, Satoru
Nishibori, tras
presentar los
resultados de la
investigación
interna
Martes 22/3: Se
activan los
cajeros
ubicados en
oficinas (3,500)
Domingo 20/3:
Banco de Japón
convoca a
Mitsubishi,
Mizuho y
Sumitomo para
estudiar
posibles
soluciones de
contingencia
Jueves 24/3:
Normalizadas
las operaciones
en Mizuho Bank
Nov. 2011:
Anuncio de
reestructuración
del grupo
Mizuho,
reduciendo más
del 10% de la
plantilla
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
11
Contenido




Limitaciones de un PCN en situaciones extremas
Plan Nacional de Continuidad del Negocio del Sector Financiero
Un caso de estudio: Mizuho Financial Group
Metodología Test-Driven Development (TDD) aplicada al desarrollo de
planes de continuidad
 Un escenario extremo poco natural pero no tan improbable
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
12
TDD: una metodología basada en los ejercicios
 Las “best practices” para el desarrollo de PCNs empiezan por el Análisis
de Impacto en el Negocio (BIA) y acaban con los ejercicios
 Aunque pueda resultar paradójico, empezar por los ejercicios en lugar de
por el BIA puede ser una mejor aproximación al desarrollo de PCNs
 Especialmente cuando el BIA es muy complejo (p.e., en escenarios extremos)
 Un PCN sectorial podría construirse así, de forma muy eficaz y eficiente,
aplicando una adaptación de la metodología TDD (Test-Driven
Development), utilizada en la industria del software
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
13
La metodología TDD aplicada al PNCN del Sector
Financiero
Recursos
(personales
y
materiales)
Ajustar
recursos u
objetivos de
resiliencia
 Activar el Plan
 Convocar Equipos de Gestión
de Crisis
 Evaluar impacto en el sector
 Evaluar impacto en otros
sectores con dependencias
 Informar sobre la situación
 Coordinar acciones sectoriales
Determinar
objetivos
compatibles
con los
ejercicios
Validar
eficacia
mediante
ejercicios
Registrar y
subsanar
lagunas
detectadas
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
14
Contenido




Limitaciones de un PCN en situaciones extremas
Plan Nacional de Continuidad del Negocio del Sector Financiero
Un caso de estudio: Mizuho Financial Group
Metodología Test-Driven Development (TDD) aplicada al desarrollo de
planes de continuidad
 Un escenario extremo poco natural pero no tan improbable
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
15
Un escenario extremo poco natural pero no tan
improbable
 Las situaciones extremas se asocian tradicionalmente, en su mayoría,
con catástrofes naturales
 La industria financiera goza de una notable resiliencia intrínseca ante
estas situaciones
 Basada en el proceso de información
 Sus productos no requieren factorías ni logística física
 Pero esa fortaleza se convierte en una debilidad ante un nuevo tipo de
amenazas deliberadas (y por tanto con mayor probabilidad de ocurrir)
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
16
Del ciberataque…
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
17
… a la ciberguerra
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
18
Preocupación al más alto nivel
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
19
En resumen…
 Es difícil que los PCNs individuales cubran escenarios extremos
 Especialmente en los casos de las entidades privadas por los costes que conllevan
 Pero si las situaciones extremas no están previstas en todo el sector financiero, no
serviría de mucho que, por ejemplo, el Banco Central las incluyese en su PCN
 Se requiere, por tanto, un marco sectorial, plasmado en un PNCN
 Las mejores prácticas existentes (ISO 22301) no son las más idóneas
para un PNCN
 Sugerimos una aproximación más pragmática
 La metodología TDD: elaboración iterativa del Plan, de lo sencillo a lo complejo,
guiados por la experiencia práctica (los ejercicios)
 Debemos plantearnos que, en el futuro inmediato, el escenario extremo
más probable y generalizado sea uno de ciberataque/ciberguerra
 De nuevo, incide en la necesidad de una normativa nacional (en la línea marcada
por el informe GAO) que delimite acciones que deben asumir las entidades,
individual y sectorialmente, y acciones reservadas al Gobierno (Interior y Defensa).
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN
20
GRACIAS POR SU ATENCIÓN
DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN