Plan de Continuidad de Negocio del Sector Financiero Una necesidad en Situaciones Extremas

(1)

Plan de Continuidad de Negocio del Sector Financiero

Una necesidad en Situaciones Extremas

Ramón Galián

Responsable de la Unidad de Continuidad de Negocio Banco de España

Conferencia sobre Planes de Contingencia y Continuidad del Negocio en Situaciones Extremas

(2)

DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN

Contenido

 Limitaciones de un PCN en situaciones extremas

 Plan Nacional de Continuidad del Negocio del Sector Financiero  Un caso de estudio: Mizuho Financial Group

 Metodología Test-Driven Development (TDD) aplicada al desarrollo de

planes de continuidad

 Un escenario extremo poco natural pero no tan improbable

(3)

Contenido

(4)

¿A qué puede tener que enfrentarse un Banco Central en un escenario “extremo”?

 Los “clientes” del BC pueden experimentar tales problemas que ni

siquiera estén en condiciones de recibir los servicios del BC  Los bancos, las bolsas, las cámaras de compensación, etc.

 Los “proveedores” del BC puede que tampoco estén en condiciones de

prestar los servicios básicos que el BC necesita para su funcionamiento  Agua, energía, comunicaciones, etc.

 En este tipo de escenarios, puede llegar a interrumpirse el negocio de

todo el sector financiero o, al menos, de una parte significativa del mismo

 Afectando, por tanto, a la estabilidad financiera del país

(5)

Limitaciones de un PCN convencional en casos extremos

 Las entidades privadas tenderán a no cubrir en sus PCNs estos

escenarios

 Los costes que habrían de asumir les restarían competitividad  Tentación de considerarlos riesgos residuales

 En situaciones extremas, el Banco Central podría llegar a tener

exigencias superiores a las de su régimen normal de funcionamiento  Sin embargo, un PCN convencional suele tener como objetivo respuestas en

régimen “degradado”

(6)

Necesidad de un Plan de ámbito sectorial

 Es necesario un marco normativo que arbitre el reparto de las

inversiones necesarias para estar preparados ante escenarios extremos  Escenarios que deben contemplarse

 Estrategias de mitigación

 Especificar las obligaciones que deban asumir las entidades financieras,

tanto públicas como privadas

 Tratando de evitar que los costes alteren el equilibrio competitivo

 Plan Nacional de Continuidad del Negocio del Sector Financiero

 Roles y responsabilidades tanto en la planificación de las respuestas como en la gestión de las mismas en caso de incidente

 Dependencias intra e inter-sectoriales

(7)

Contenido

 Un caso de estudio: Mizuho Financial Group

(8)

¿Quién debe ser el propietario del PNCN del Sector Financiero?

 La Continuidad del Negocio en el Sector Financiero debe ser

contemplada en el contexto de la Estabilidad Financiera de un país

 El PNCN del Sector Financiero debe ser propiedad de la instancia

encargada de asegurar la Estabilidad Financiera

 Normalmente, una instancia en la que suelen estar representados los diferentes supervisores de la industria financiera

 Caso español: el Comité Español de Estabilidad Financiera (CESFI)

 Ministerio de Economía, Banco de España y Comisión Nacional del Mercado de Valores (CNMV)

(9)

Desafíos en la elaboración de un PNCN del Sector Financiero

 Las “best practices” (p.e., ISO 22301) para elaborar un PCN tienen un

gran desafío cuando se trata de un PNCN sectorial  Análisis de Impacto Sectorial

 Identificación de las funciones críticas del sector que deben tener continuidad

 Estrategia de Respaldo Sectorial

 Los recursos alternativos a los de una entidad pueden ser los de otra entidad competidora

 Gestión de Crisis Sectorial

 Se necesitarán estructuras de coordinación y procesos, operativos en todo el ámbito sectorial

(10)

Contenido

 Un caso de estudio: Mizuho Financial Group

(11)

El caso Mizuho Financial Group

Tsunami en Japón (11/3/2011)

 Segundo mayor banco de Japón por activos

 Ranking a fecha de 31/3/2010 ($bill.)

 Mitsubishi UFJ Financial Group: 2,196

 Mizuho Financial Group: 1,637

 Sumitomo Mitsui Financial group: 1,281

11 Viernes 11/3: Tsunami que afecta central nuclear de Fukushima Lunes 14/3: Mizuho Bank experimenta un fallo en su proceso diario de transferencias Viernes 18/3: Los fallos se han repetido cada día. Más de $10 bill. pendientes. Mizuho decide desactivar sus 38,000 cajeros, hasta el lunes 21 incluido. Domingo 20/3: Banco de Japón convoca a Mitsubishi, Mizuho y Sumitomo para estudiar posibles soluciones de contingencia Martes 22/3: Se activan los cajeros ubicados en oficinas (3,500) Jueves 24/3: Normalizadas las operaciones en Mizuho Bank Junio 2011: Dimite el presidente de Mizuho, Satoru Nishibori, tras presentar los resultados de la investigación interna Nov. 2011: Anuncio de reestructuración del grupo Mizuho, reduciendo más del 10% de la plantilla

(12)

Contenido

(13)

TDD: una metodología basada en los ejercicios

 Las “best practices” para el desarrollo de PCNs empiezan por el Análisis

de Impacto en el Negocio (BIA) y acaban con los ejercicios

 Aunque pueda resultar paradójico, empezar por los ejercicios en lugar de

por el BIA puede ser una mejor aproximación al desarrollo de PCNs  Especialmente cuando el BIA es muy complejo (p.e., en escenarios extremos)

 Un PCN sectorial podría construirse así, de forma muy eficaz y eficiente,

aplicando una adaptación de la metodología TDD (Test-Driven Development), utilizada en la industria del software

(14)

La metodología TDD aplicada al PNCN del Sector Financiero Recursos (personales y materiales) Validar eficacia mediante ejercicios Registrar y subsanar lagunas detectadas Determinar objetivos compatibles con los ejercicios Ajustar recursos u objetivos de resiliencia 14  Activar el Plan

 Convocar Equipos de Gestión

de Crisis

 Evaluar impacto en el sector  Evaluar impacto en otros

sectores con dependencias

 Informar sobre la situación  Coordinar acciones sectoriales

(15)

Contenido

(16)

Un escenario extremo poco natural pero no tan improbable

 Las situaciones extremas se asocian tradicionalmente, en su mayoría,

con catástrofes naturales

 La industria financiera goza de una notable resiliencia intrínseca ante

estas situaciones

 Basada en el proceso de información

 Sus productos no requieren factorías ni logística física

 Pero esa fortaleza se convierte en una debilidad ante un nuevo tipo de

amenazas deliberadas (y por tanto con mayor probabilidad de ocurrir)

(17)

Del ciberataque…

(18)

… a la ciberguerra

(19)

Preocupación al más alto nivel

(20)

En resumen…

 Es difícil que los PCNs individuales cubran escenarios extremos

 Especialmente en los casos de las entidades privadas por los costes que conllevan  Pero si las situaciones extremas no están previstas en todo el sector financiero, no

serviría de mucho que, por ejemplo, el Banco Central las incluyese en su PCN

 Se requiere, por tanto, un marco sectorial, plasmado en un PNCN

 Las mejores prácticas existentes (ISO 22301) no son las más idóneas

para un PNCN

 Sugerimos una aproximación más pragmática

 La metodología TDD: elaboración iterativa del Plan, de lo sencillo a lo complejo, guiados por la experiencia práctica (los ejercicios)

 Debemos plantearnos que, en el futuro inmediato, el escenario extremo

más probable y generalizado sea uno de ciberataque/ciberguerra

 De nuevo, incide en la necesidad de una normativa nacional (en la línea marcada por el informe GAO) que delimite acciones que deben asumir las entidades,

individual y sectorialmente, y acciones reservadas al Gobierno (Interior y Defensa).

(21)