Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Versión2007.03

TB SECURITY - REPORTE EJECUTIVO BIA

© 2007 Globaltek Security / Armando Carvajal

La información contenida en este documento es confidencial y se prohíbe su

distribución a las personas que no estén autorizadas según el plan global de
seguridad informática de TB Security

Este documento fue elaborado por el Ing Armando Carvajal funcionario de Globaltek
Security organización externa encargada de la asesoría en seguridad informática
para TB Securitry.

© Globaltek Security, BIA para la empresa TB security 1

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Terminología utilizada en este documento

BIA - Business Impact Analysis: Es el proceso de identificar las funciones criticas

del negocio para determinar el impacto cuando estas funciones no se pueden
ejecutar para la continuidad del negocio

Procesos del negocio - Business Processes: Consiste de las tareas y actividades

diarias que deben ser completadas para producir un servicio o producto final. Un
proceso de negocio es parte de una función corporativa global.

Unidad del negocio - Business Unit: Es una unidad organizacional dentro de la

empresa. (Para el propósito de este documento es lo mismo que un departamento,
por ejemplo el departamento de contabilidad, área técnica, etc)

Infraestructura de alta disponibilidad - High Availability Infrastructure: Se

refiere a los sistemas o a sus componentes que deben estar continuamente
operacionales por un largo periodo de tiempo deseado

Impacto - Impact: Cualquier resultado que causa retardos, interrupciones o cese

de actividades en las operaciones del negocio. El impacto puede estar asociado a
pérdidas financieras, perdidas operacionales, mala atención al cliente, perdidas por
problemas legales o de regulación por parte de entidades de vigilancia

Redundancia - Redundancia: Es tener recursos adicionales disponibles en

paralelo para el caso en que los recursos críticos primarios fallen.

Analisis de riesgos - Risk Assessment: Es el proceso de identificar y evaluar los

peligros y riesgos que están presentes en los activos analizando las vulnerabilidades
que amenazan la continuidad del negocio.

RTO: Recovery Time Objective: Es el máximo tiempo permitido que un proceso

puede estar caído seguido a un evento catastrófico.

RPO: Recovery Point Objective: Primeros datos que permiten volver a ofrecer el
servicio. Identificar si para la recuperación del proceso que se haya visto afectado se
necesita disponer de la información que se tenía justo antes de que sucediera el
incidente, o si, por el contrario, se puede utilizar la información anterior (hasta qué
Momento: una hora, un día, dos...)

Revisiones de este documento

Version Descripcion del cambio Capitulo, Revisado por Fecha

seccion,
Pagina
Todas las Armando
2007.02 Diseño del documento 20.02.2007
paginas Carvajal
Todas las Armando
2007.03 Creación del documento 20.03.2007
paginas Carvajal

© Globaltek Security, BIA para la empresa TB security 2

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Revision Ejecutiva

Objetivos

La intención del Business Impact Analysis (BIA) fue ayudar a TB Security a identificar
las unidades organizacionales, las operaciones y los procesos que son cruciales para
la supervivencia del negocio. El BIA ha identificado los tiempos en que las
operaciones esenciales deben ser restauradas luego que un evento perjudicial o
catastrófico haya sucedido.

Este método ha definido el impacto en el negocio al no ejecutarse las operaciones

críticas basadas en el peor escenario. Además ha identificado los recursos requeridos
para que se cumplan los niveles de servicios mínimos pactados.

El peor escenario asume que la infraestructura física que soporta cada unidad del
negocio ha sido destruida y todos los registros, equipos, y demás recursos no son
accesibles por un mínimo de 30 días.

Los objetivos del BIA fueron:

¾ Estimar el impacto financiero, el impacto operativo, el impacto de no dar

atención al cliente, el impacto legal de TB security sobre las unidades del
negocio asumiendo el peor de los escenarios.
¾ Estimar el número de personal requerido para la operación de recuperación
¾ Identificar las funciones críticas del negocio, las unidades de negocios, y
estimar el Recovery Time Objectives o RTO para cada unidad del negocio.

Para este proyecto BIA los niveles de RTO fueron:

Nivel RTO Intervalo de

Recuperacion
1 0 – 24 Horas
2 24 – 48 Horas
3 48 - 72 Horas
4 3 – 6 Dias
5 1 Semana
6 2 Semanas
7 3 Semanas
8 1 Mes
9 +1 Mes

Estos intervalos deben ser reevaluados para conocer o encontrar los requerimientos
de las capacidades de recuperación de la tecnología. Si las capacidades de la
tecnología no conocen los requerimientos de las unidades del negocio entonces una
brecha o vacio existe. Esta brecha debe mitigarse para prevenir que se extienda e
impacte a TB Security.

© Globaltek Security, BIA para la empresa TB security 3

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Alcance

El alcance para TB Security incluye las siguientes unidades de negocio técnicas y no

técnicas:

• Contabilidad
• Marketing
• Operaciones
• Soporte Técnico y desarrollo
• Seguridad Física
• Recursos Humanos

Nos enfocamos en las unidades de negocios localizadas en España. Todas las

unidades de negocios, procesos, tecnología, personas, etc residentes en este sitio
físico, fueron examinados por personal de Globaltek security con el permiso previo y
por escrito de TB Security.

Enfoque Utilizado

Para iniciar el proceso de BIA en TB security se elaboro un cuestionario electrónico

que fue distribuido a todas las unidades de negocios. Una vez se recibió el
cuestionario se entrevisto personalmente a cada responsable de cada unidad de
negocio.

El propósito del cuestionario y de la entrevista fue identificar procesos críticos de

negocios, estimar el tiempo de recuperación, estimar los recursos y los
requerimientos para determinar si se podrían aplicar procedimientos manuales. Se
identifico un estimado para el impacto financiero, el impacto operativo, el impacto en
los clientes y finalmente el impacto legal.

El grupo encargado del proyecto BIA encuesto a 5 unidades del negocio de TB

Security durante el mes de febrero de 2007. Las entrevistas se condujeron por
Hernan Zarate, especialista en planes de contingencia de Globaltek Security.

Respuestas de los departamentos y resultados

La información conseguida a nivel detallado por el equipo BIA muestra el resultado

con un alto nivel de revisión de cada unidad de negocio. Para ver más nivel de
detalle de las entrevistas por favor revise los anexos para cada unidad de negocio.
Los reportes están tal cual como fueron capturados de las entrevistas.

© Globaltek Security, BIA para la empresa TB security 4

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA
Resultados de las unidades de negocios

Contabilidad

El departamento de contabilidad es responsable de todos los registros contables,

Pagos de cuentas, facturación pago de impuestos, presupuestos, adquisición de
capitales y presentación de estados financieros. Este departamento no provee
productos y servicios directamente al cliente.

La entrevista la condujo Armando Carvajal el 20 de febrero de 2007. Se entrevisto al

señor Juan Carlos Beltrán quien es el responsable de la administración del
departamento de contabilidad. El siguiente proceso de negocios muestra los
requerimientos identificados y definidos durante el proceso de BIA.

Proceso de negocio y RTO (Recovery Time Objective)

Nombre del proceso Descripcion del proceso RTO

de negocio

Cada dos semanas se procesa la nomina con sus

impuestos respectivos. Los pagos se hacen en línea
Nomina e impuestos
1 vía la transferencia a una cuenta bancaria. Los pagos 1 Dia
de nomina
se hacen el día lunes cada dos semanas.

Es responsable de coordinar el pago de todas las

cuentas e imprimir los cheques y transferir los fondos.
Todas las factures son pagadas vía electrónica a
2 Pago a proveedores 3 Dias
menos que el proveedor desee el pago en forma
manual.

Mensualmente el presupuesto es procesado para cada

unidad de negocio. La revisión anual ocurre en junio.
Manejo de
3 Durante este tiempo se preparan los presupuestos 7 Dias
presupuestos
para la aprobación por cada unidad de negocio.

Responsable de correlacionar los libros mayores

Instrucciones
4 cerrándolos cada fin de mes. 3 Dias
financieras
Coordina, aprueba, hace seguimiento de las
Adquisicion de adquisiciones de préstamos financieros de la
5 3 Dias
inversions y capitales organización TB Security.

Responsable de todos los registros contables para ser

30
6 Registros contables presentados según las leyes contables del gobierno.
Dias
Responsable por emitir las factures que genera el
7 Facturacion área de ventas, proveedores de servicios, adquisición 1 Dia
de compras, manejo de activos, etc

© Globaltek Security, BIA para la empresa TB security 5

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA
Recursos requeridos por cada proceso de negocio

Nombre del Applicacion / Equipamiento Registros Personas

proceso Software de Vitales / Requeridas1
escritorio Reportes

Ordenes de
Aplicativo de 4 Compaq PC
pedidos de
Nomina e nomina Fax
vendedores
1 impuestos de Excel Teléfono 1 Persona
Unidad
nomina Microsoft Impresora de
compartida
Access cheques
(E: Drive)
Aplicativo de
cuentas por 2 Compaq PC Ordenes de
pagar Fax pagos
Pago a Microsoft Excel Telefono mensuales
2 1 Persona
proveedores Microsoft Calculadora Unidad
Outlook Impresora de compartida
Intranet / cheques (G: Drive)
Internet
Manejo de 1 Compaq PC Plantilla de
3 Budget Pro Plus
presupuestos Impresora presupuestos
2 Compaq PC
Papel de alta
Registro de
Instrucciones calidad
4 Finance 101 ordenes 2 Personas
financieras Archivador de
financieras
documentos
financieros
Adquisicion de
Microsoft
5 inversiones y 1 HP laptop N/A
Access
capitales
Registros
6 Corporate AP 1 HP Desktop N/A 2 Personas
contables
Ordenes de
Aplicacion de
7 Facturacion 1 HP Desktop pedidos de 1 Persona
facturacion
vendedores

1
El numero de personal de recuperación por día representa el numero recurso interno que la unidad de negocio puede
requerir para soportar la operación esencial cuando ocurra el desastre.

© Globaltek Security, BIA para la empresa TB security 6

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA
Procedimientos manuales de recuperación

Proceso de Procedimiento manual de % que se RPO

negocio solución puede hacer
manualmente

Actualmente no se ha implementado
Nomina e una solución manual para el pago de
1 impuestos de nomina. La nomina depende 100% 0% 0 Días
nomina del sistema de pago de nomina.

La documentación impresa puede ser

Pago a usada en el evento de no tener
2 65% 1 Semana
proveedores sistema.

Se puede hacer manualmente en

algún formato pre impreso o planilla
Manejo de
3 de contingencia pero luego los datos 100% 1 Mes
presupuestos
deben ser ingresados al sistema.

Se puede hacer manualmente en

algún formato pre impreso o planilla
Instrucciones
4 de contingencia pero luego los datos 100% 1 Mes
financieras
deben ser ingresados al sistema.

Se puede hacer manualmente en

Adquisición de algún formato pre impreso o planilla
5 inversiones y de contingencia pero luego los datos 100% 1 Mes
capitales deben ser ingresados al sistema.

Se puede hacer manualmente en

algún formato pre impreso o planilla
Registros
6 de contingencia pero luego los datos 100% 1 Mes
contables
deben ser ingresados al sistema.

Se puede facturar manualmente en

papel pre impreso de contingencia
pero algunos clientes críticos como
las fuerzas armadas solo aceptan
7 Facturación 65% 1 Semana
facturación electrónica debido a la
retención de impuestos por ser
grandes contribuyentes.

© Globaltek Security, BIA para la empresa TB security 7

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Impacto financiero identificado por cada proceso

Nombre del Ninguno Bajo Medio Alto Potencial Impacto

proceso de Financiero
negocio

Nomina e impuestos $1.5 millones en

1 9
de nomina retardos de nomina
$25,000 semanales
2 Pago a proveedores 9
Manejo de
3 9 N/A
presupuestos
Instrucciones
4 9 N/A
financieras
Adquisicion de
5 inversiones y 9 N/A
capitales
6 Registros contables 9 N/A
$150,000 / Dia, $4.5
7 Facturacion 9 millones mensuales

Notas: N/A indica No Aplica.

© Globaltek Security, BIA para la empresa TB security 8

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA
Impacto operacional (imagen ante el cliente) Identificado por la unidad de
negocio

Impacto Ninguno Bajo Medio Alto

Flujo de trabajo
1 9
Servicio al cliente
2 9
Valor de la accion en bolsa de
3 valores / Market Share 9

Reputacion de la compania
4 9
Moral de los empleados
5 9
Ventajas competitivas
6 9
Renunia de empleados
7 9
8 Otro 9

Impacto legal identificado por cada proceso

Nombre del Ninguno Bajo Medio Alto Costos y comisiones

proceso

Nomina e impuestos
$350,000 / Caso /
1 de nomina 9
comisiones
Pago a proveedores
2 9 $25,000 por contrato
Manejo de
3 presupuestos 9 N/A

Instrucciones
4 financieras 9 N/A

$25,000 comisiones
Adquisicion de
legales por no cumplir
5 inversiones y 9
los contratos
capitales
$25,000 por violación
Registros contables
6 9 y no cumplimiento de
la ley
Facturacion
7 9 N/A

© Globaltek Security, BIA para la empresa TB security 9

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Conclusiones

¾ El estado crítico de de la contabilidad puede durar hasta 3 días antes de tener

un impacto importante en TB Security.
¾ Hay reportes contables que pueden ser extremadamente vulnerables en una
interrupción del negocio específicamente en las cuentas por pagar a
proveedores y la nomina de empleados.
¾ Existen reportes contables que pueden ser excepcionalmente difíciles de
implementar manualmente para el pago de nomina.
¾ La generación de cheques manuales pueden ser producidos pero incrementan
los gastos financieros

Justificación: Contratar con el estado es muy crítico, de hecho, si un proveedor no

cumple con los tiempos mínimos contratados por ley no podrá volver a contratar con
el estado por los siguientes 5 años…

Creo que, contratar con las fuerzas militares, es contratar con el gobierno y es un
riesgo muy alto por que se dependería de un solo cliente… si llegase a ocurrir un
desastre, además de los tres años de perdida que lleva la empresa TB security
tendría que cerrar prontamente y fuera de ello sus socios o accionistas tendrían que
respaldar las responsabilidades con sus activos personales.

Es por esto que en este informe se selecciona el departamento contable como

primera área pues la integración de todos los departamentos se hace a través de
esta. Se pudo haber empezado por el área de operaciones que es la más critica por
los altos costos que más adelante veremos….

Así entonces usando el mismo formato del área contable podría encontrar el RTO y el
RPO para el resto de departamentos o áreas respecto de todos los procesos críticos
del negocio que se procesan en cada área:

• Operaciones
• Soporte Técnico y desarrollo
• Seguridad Física
• Recursos Humanos
• Marketing

Los RTO, RPO y las perdidas posibles para esos procesos me los inventare ya que no
existe en este ejemplo teórico.

En esta parte se deben detallar el resto de departamentos

…
…
…

© Globaltek Security, BIA para la empresa TB security 10

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA
Resumen y conclusiones

Este reporte tiene la intención de presentar a la alta administración de la

organización BT Security un resumen de las pérdidas potenciales que se pueden
presentar en las unidades de negocio si sus servicios no están disponibles por un
periodo de tiempo.

Existen altos costos asociados con la implementación de alta disponibilidad e

infraestructura redundante para reducir la cantidad de riesgo que existe en el
entorno del negocio de GPS.

Este documento provee una colección resumida del impacto que afecta las unidades
de negocio de BT security. Esta información puede ser aplicada para justificar e
implementar las estrategias de recuperación y prevención que se requieren para
recuperarse en los tiempos objetivos que decida la organización.

Impacto Financiero combinado

La siguiente figura muestra el impacto financiero combinado reportado por las

unidades de negocio de la organización BT Security:

Nota: No todas las unidades de negocios impactan financieramente a la compañía.

Impacto Financiero Combinado

160
140
120
100
Millones 80
60
40
20
0
1 2 3 4 5 6 7 14 21 28 30
Dias

El reporte combinado impactaría financieramente a TB Security en $5.4 Millones para

el primer día ($38.2 millones por semana) hasta aproximadamente $154 Millones el
día 30. La mayor cantidad de impacto financiero viene de Operaciones, soporte
Técnico y Desarrollo al no poder ejecutar sus funciones del negocio

Basados en los resultados de las encuestas la mayor exposición financiera se

incrementa considerablemente de los días 7 al 14 y en seguida se incrementa a un
mayor desastre.

© Globaltek Security, BIA para la empresa TB security 11

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Impacto operacional Combinado

El impacto Operacional (Cliente) es un intangible y no puede ser cuantificado

directamente.

Impacto Operacional

Otros

Renuncia del empl

Ventajas competitivas
Moral del empleado
Reputacion de la cia
Valor de la accion
Servicio al cliente
Flujo de trabajo

0 0.5 1 1.5 2 2.5 3 3.5

0:Ninguno, 1:Bajo, 2:Medio, 3:Alto

El flujo de trabajo y el servicio al cliente es claramente la prioridad de BT Security

como se muestra en la grafica, todas las unidades de negocio se preocupan por la
moral del empleado durante una situación de desastre.

© Globaltek Security, BIA para la empresa TB security 12

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA
Impacto combinado legal/regulacion

El impacto “Legal y de regulación” tiene que ver con las obligaciones para con las
agencias de vigilancia, organizaciones y clientes con los cuales las unidades de
negocio deben cumplir obligaciones contractuales. Incluye los deberes para con las
entidades de vigilancia gubernamental, contratos y niveles de servicio pactados con
clientes, vendedores y agencias.

Impacto legal/regulacion

Soporte tecnico 500,000

Almacen 68,750

Desarrollo 200,000
Recurso humano

Operaciones
1,500,000
Marketing 25,000

Contabilidad 105,000

25,000 325,000 625,000 925,000 1,225,000 1,525,000

Impacto Potencial semanal

De la grafica anterior se puede concluir que la unidad organizacional “Operaciones”

tiene el mayor impacto por el no cumplimiento de los temas contractuales y esto
genera responsabilidad civil legal así como las regulaciones por hacer negocios con
las fuerzas militares, este impacto se estimo como el costo potencial de litigar contra
el estado (gobierno) y esto genera una serie de multas y honorarios legales.

© Globaltek Security, BIA para la empresa TB security 13

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Requerimientos de personal para recuperación

Esta tabla resume los requerimientos para TB security por cada unidad de negocio:

Personas necesarias al pasar el tiempo

350

340 346

330 342

320 342
338
310
334 334 334 334
300 312
309
290

280

270

260

250
1 2 3 4 5 6 7 14 21 28

De la grafica anterior, se puede ver que la demanda de personal en un mes de

catástrofe es muy alta. Es altamente recomendable que TB security implemente
alternativas y procedimientos con personal temporal para cuando ocurra un
desastre. Inicialmente la planta de personal es de 50 personas y este estudio
muestra un crecimiento de hasta 346 personas para final de mes durante una
catástrofe.

Entonces es muy critico que ocurra un desastre total pues la carga de personal se crece en
forma abrupta y podría cerrar la organización por pura incapacidad económica y de recursos

© Globaltek Security, BIA para la empresa TB security 14

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA
Complejidad de recuperación por unidad de negocio

La complejidad de recuperación es la medida de cuan difícil es la recuperación de la

unidad de negocio a los niveles de servicio pactados después de un prolongado
tiempo de desastre. Durante el proceso de entrevistas del BIA a cada unidad de
negocio se le encuesto a que rango pertenecía de la siguiente lista:

• Fácilmente Recuperable – Los procesos que tengan procedimientos

manuales de recuperación, locaciones alternas para poder trabajar,
tecnología y estrategias de recuperación caen en este rango
• Razonablemente recuperable – Algunas necesidades pueden ser
difícilmente de reemplazar en un tiempo razonable.
• Difícilmente recuperable – Muchas de las necesidades esenciales de la
unidad de negocio pueden ser difíciles de reemplazar en un tiempo
razonable
• Muy difícil recuperación – Existen numerosos elementos muy difíciles
de reemplazar o el tiempo de recuperación es muy largo

Los resultados fueron analizados y compilados en el siguiente grafico:

Facilmente
Recuperable
18%

Muy dificil
recuperable
46%

Razonablemente
Recuperable
27%

Dificilmente
recuperable
9%

Todas las unidades de negocio

Facilmente Razonablemente Dificilmente Muy difícil
recuperable recuperable recuperable Recuperable
Soporte tenico Contabilidad Seguridad Operaciones
Materiales Boards Marketing Laboratorios
Recursos Humanos Almacén
Desarrollo

Se nota que los departamentos que son difíciles de recuperar son los directamente
responsables de la atención al cliente. Se recomienda que cada departamento
estandarice los procesos de operación para documentar manualmente los procesos
directamente asociados a las operaciones.

© Globaltek Security, BIA para la empresa TB security 15

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA

Propuesta de solución

Se recomienda un Hot Site: Dado que las fuerzas armadas estarán consultando el
portal web para saber en cada momento donde está la flota armada, TB Security
debe tener un centro de computo paralelo en otra ciudad, de tal forma que un dato
grabado en los servidores Windows 2000 del centro de computo local debe
sincronizarse de forma inmediata con el centro de computo paralelo.

Cuando ocurra una catástrofe en máximo un día el sistema paralelo tendrá la

información al día para ser consultada y actualizada por las fuerzas armadas.

Esta estrategia es, desde el punto de vista de la seguridad, la mejor de todas porque
minimiza el tiempo de inactividad de un proceso, pero a su vez, es la que requiere
una mayor inversión, porque comporta disponer de todos los equipos comprados
actualizados y configurados para poder utilizarlos de forma automática o en pocas
horas. También necesitará disponer de personal con conocimientos y documentación
ajustada y que refleje la situación real de la organización.

Por su elevado coste, esta estrategia está destinada a procesos muy críticos como
“operaciones” que no pueden estar inactivos mucho triempo, por lo que,
generalmente, no se puede realizar el volcado de la información en el momento de la
contingencia: un hot site requiere estar continuamente sincronizado.

Conclusiones Finales

El proyecto BIA ha descubierto en la organización TB security que las unidades de

negocios tienen una infraestructura muy pesada y es posible que eso ayude a las
perdidas en los últimos 3 años.

La principal preocupación es el alto nivel de impacto financiero en los ingresos y la

no muy buena atención que se les pueda dar a los clientes claves como las fuerzas
armadas que impactan muy fuertemente los ingresos de la organización.

Debido a la deficiencia en alta disponibilidad o infraestructura redundante el grupo

del proyecto BIA hace las siguientes recomendaciones para la organización BT
Security:

Recomendaciones mandatorias Recursos

Identifique individuos para los esfuerzos de planeación de 1 de cada

contingencias departamento

Desarrolle estrategias de planes de contingencias 2 semanas

Revise con el proveedor de Hot Site los tiempos de recuperación 2 a 3 personas

© Globaltek Security, BIA para la empresa TB security 16

 Plantilla para Capacitación - Reporte ejecutivo para el análisis del impacto en el negocio - BIA
Comprométase en el análisis de aplicaciones y su datos críticos 4 semanas

Desarrolle planes de recuperación para departamentos técnicos y no 3 meses

tecnicos

Trabaje con vendedores de planes de recuperación de desastres para 3 meses

centros de datos

Identifique vías para reducir riesgos e impactos a la organización 2 meses

Armando Carvajal
Máster en seguridad informática UOC – España

© Globaltek Security, BIA para la empresa TB security 17