Continuity in Central Banking: Beyond Compliance — A Social Responsibility

Johanna Gutierrez Clavijo

The Central Bank of Colombia (El Banco de la República) complies with the standard functions of most central banks; its main constitutional objective is to watch over the stability of currency purchasing power. As stated on its website: “the aim of the Banco de la República’s monetary policy is the achievement of coherent inflation rates with the constitutional mandate of guaranteeing price stability in coordination with a general macroeconomic policy that motivates product and employment growth”. It has administrative autonomy over national wealth and its technology. Some of its principal functions are to regulate currency, the international exchange, and credit; to issue legal currency; to administrate international reserves; to act as moneylender of last resort; to act as banker for credit establishments; and to serve as the fiscal agent of the government. The Central Bank of Colombia is an essential part of the operation of the Colombian financial system, which is the group of entities that exert influence on Colombia’s stock market activity, insurance, finance and credit.

To give continuity to these functions, which, among other things, helps to guarantee secure and efficient money circulation both domestically and internationally, the Central Bank of Colombia has been working for twelve years on developing and implementing a system of continuity management (SCM) that is efficient and effective. This system is of high quality and encompasses the critical processes of the bank including clear and open policy, an operation and technology contingency plan, a response and emergency plan as well as a separate crisis management plan, and integration with the financial and government sector.

SCM is known for having the unconditional support of the bank’s senior management, who feel that it is a matter of strategic importance. To continue our operations as the central bank goes beyond constitutional compliance, it is a social responsibility. We are charged with assuring our bank’s continuity in the face of any threat to its ability to operate, including defending such crucial functions as the stability of the payments system and the monitoring of the money supply. Toward this goal, significant human and financial resources have been approved to ensure technological and operations continuity; a total of ten people work exclusively for SCM. Financial resources to construct, supply, and maintain two technical and operations centers have been sanctioned. One of them will have the capacity to recover the entire technical operation in two hours and to continue operating indefinitely; the other will have active operation in one hour and operate for up to eight weeks. It has been an ongoing challenge to maintain the interest and participation of the banking community on these matters. This has been achieved through permanent sensitization and awareness to the point of being a planned and monitored activity with specific indicators of compliance, thus contributing to the rising maturity of SCM at the bank.

Three years ago, we decided to face the challenge of conducting live contingency tests at the Central Bank of Colombia. That is to say, we conducted tests during the business hours of the entire financial community. This matter was supported not only by senior management, but also at the supervisory level and by the financial community in general. Today we can say that the successful tests conducted during business hours included an evacuation simulation of central bank personnel, resulting in a two-hour suspension of the technological and operations services that we offer the financial and governmental sectors. Following the evacuation, operations began again at the exclusive alternate off-site location of the contingency teams.

A big challenge that is still unresolved has been to find the best way to communicate a crisis event to and among employees. Currently, we use cell phones, e-mail, and a custom crisis information portal that activates on our website (www.banrep.gov.co) in the event of a crisis. The site contains information on the development of the crisis and the actions that various groups of affected employees, users, and providers should take. In the same way, we are exploring the possibility of acquiring a massive notification tool. For now, we provide information to our employees via the social media site Twitter in order to maintain an alternative method of communication with them.

The Central Bank of Colombia is also involved with promoting continuity management in financial and governmental entities, with the goal of realizing internal management for the whole country. To help achieve this goal, we are vigilant to maintain compliance with the regulations of the Ministry of Finance of Colombia and its mission to preserve public confidence and the stability of the financial system. To this end, the Ministry controls and oversees the system, seeking security and clarity both in financial services provided and in operation fulfilled. Therefore, those who take part in this financial system are obliged to comply with continuity plans that allow us to continue operating critical processes and to guarantee that our critical providers also have and sanction the plans. On the other hand, via the Continuity Committee of the Commercial Bank Association (Asobancaria), we are working on critical aspects that allow us to comply with the SCM regulations, to share experiences in the development of SCM and to obtain integrated tools as plans of crisis management. These will strengthen the coordinated response to events that pose high impact risk to the financial system of the country.

It is evident that the Central Bank of Colombia is aiming for much more than the continuity of its own operation. That mission when pursued alone would make no sense if the rest of its counterparts and users were not also working to the same end. The bank is busy integrating its plans. This effort is not only an organizational challenge, but also a challenge to contribute—even under adverse conditions—to the ongoing development of our country.

 

Johanna studied at the University of the Andes where she specialized in systems and computer engineering and upper management. She has been certified CBCP since 2001 by the Disaster Recovery Institute and MBCI by BCI since 2008. Johanna has experience in design, development, implementation of risk, and continuity management systems. She has knowledge and experience in the areas of prevention, attention and response to emergencies as well as design and implementation of technology and contingency plans, organizational and inter-institutional crisis management. She has consulted regarding business continuity with Central Banking and public sector organizations in Colombia. Johanna is currently working for the Central Bank of Colombia, where she has been a computer security engineer, director of technology support and continuity and now serves as Director of the Risk and Process Management Department.

 

Métodos para analizar la amenaza que representa una guerra cibernética

Scott Reutter

En el mundo tenemos dos tipos de compañías – aquellas que conocen que han padecido un ataque cibernético, y aquellas que no lo saben.[1]

Dado el tamaño microscópico de la evidencia estadística disponible [en ataques sofisticados a infraestructura crítica nacional (CNI, Critical National Infraestructure)], las expresiones probabilísticas del riesgo y seguridad no muestran sentido. Cualesquier probabilidad, aun y la más ligera, es de gran preocupación. En este contexto es más razonable establecer una medida de posibilidad.[2]

Las dos citas anteriores, con el apoyo de un estudio realizado por el Instituto Ponemon, demuestran la generalización de los ataques cibernéticos, al punto de que en esencia está garantizado que una organización eventualmente será el blanco de un ataque cibernético.[3]  De modo que un análisis de probabilidad sobre si se llevará a cabo un ataque traerá resultados poco útiles. Como fue mencionado anteriormente, un ataque efectivo sobre la CNI requiere un equipo altamente calificado de científicos de la computación con vastos recursos, lo cual implica que sólo un pequeño porcentaje de la población global tiene la capacidad de llevar a cabo tal ataque, que a su vez distorsiona cualquier evaluación de probabilidad relacionada con la guerra cibernética.[4]

Además, la falta de información disponible relacionada con el origen de un ataque cibernético ocasiona que el análisis de probabilidad sea inútil. Primeramente, el número de ataques se compone de una amplia estimación, al punto de demostrar únicamente la inmensidad de la amenaza y no el volumen del ataque real.[5]  En segundo lugar, la determinación del origen de los ataques sofisticados (que se dirige a la identificación del tipo de ataque) requiere de análisis exhaustivos de informática forense, que usualmente llegan a un callejón sin salida dejando a los investigadores sin una indicación clara sobre quien perpetró el ataque.

 

Probabilidad vs. Posibilidad

La teoría de la probabilidad es útil y apropiada para varias clases de delitos informáticos – por ejemplo, esquemas de tarjeta, y el “spoofing” y “phishing” ya que estos ataques ocurren con regularidad contra las personas y las corporaciones, propiciando un marco analítico basado en las probabilidades para abordar adecuadamente estas amenazas. Sin embargo, otros fenómenos como una guerra cibernética ocurren con baja frecuencia y pueden ser ejecutados con una marginal advertencia en caso de estar preparados para ello. Los ataques cibernéticos requieren de un alto grado de entrenamiento, sofisticación y dedicación para ejecutar el ataque, así como una buena cantidad de recursos. Como resultado de ello, los autores y los actos de guerra cibernética se clasifican en el segmento de bajo porcentaje comparado con los ataques totales, y al ser eventos más avanzados que el promedio de los delincuentes y ataques cibernéticos, distorsionan cualquier análisis de probabilidad.[6]  Finalmente, como lo plantean Baskerville y Sainsbury, “los eventos aleatorios se modelan de una mejor manera a través de la teoría de la probabilidad, mientras los datos y cálculos tengan base en distribuciones aleatorias. Los ataques dirigidos no siguen una distribución aleatoria y usualmente son diseñados para ser nuevos o distintos con la finalidad de aumentar la probabilidad de éxito.”[7]  Los ataques cibernéticos sofisticados, como aquellos de una ciberguerra, están lejos de ser aleatorios y por lo tanto no pueden ser analizados adecuadamente mediante el análisis de probabilidad.

 

Teoría de la posibilidad

La teoría de la posibilidad nos permite modelar nuestros juicios y creencias inciertas sin la rigidez innatural con nuestras estimaciones. En esta situación la noción de la probabilidad aparenta ser menos flexible que la de la posibilidad.[8]

Este enfoque [basado en la posibilidad] se origina al reconocer que la seguridad de todos los recursos de información en la organización es únicamente una opinión [énfasis del autor] de los funcionarios responsables de la seguridad de la información. Una persona con aversión al riesgo en esta posición tenderá a exagerar los peligros e introducir mayor seguridad de la necesaria.

Como se mencionó anteriormente, la información relacionada con la guerra cibernética es insuficiente, inclusive para las agencias de gubernamentales. Un ataque frecuentemente se acredita a una sola fuente, pero en varias ocasiones la responsabilidad no puede ser probada. Ello ocasiona que el análisis de probabilidad sea inapropiado, ya que se fundamente en datos duros y claros; sin embargo el análisis de posibilidad no lo hace. “A partir de su base en la teoría de conjuntos difusos, la teoría de la posibilidad puede operar con información parcial sobre múltiples resultados e incorpora los factores de confianza para de esta manera adecuarse a un proceso de estructuras teóricas relacionadas con las secuencias de las condiciones que caracterizan la estructura lógica del paradigma anterior.”[9]  Por lo tanto, para analizar el riesgo en Estados Unidos de ser víctima de una guerra cibernética  se debe de realizar a partir del modelo de análisis de posibilidad. Baskerville y Portougal ofrecen una mayor percepción:

Los ataques de intrusión altamente profesionales, persistentes y bien soportados, tendrán una alta posibilidad de éxito. Si actuamos en contra de la posibilidad de intrusión, nos encontraremos en un marco teórico mas adecuado para la protección de las complejas infraestructuras informáticas nacionales…[10]

La propuesta de Baskerville y Portougal de un marco teórico de la posibilidad para la evaluación de riesgos de infraestructura nacional crítica, aborda la baja probabilidad y alta posibilidad de riesgo de un ataque dirigido por agentes altamente capacitados con conocimiento detallado de sus objetivos y vastos recursos.

“Con la figura geométrica esencial de una función de posibilidad, cualquier medida de seguridad operando durante un intervalo de tiempo ilimitado producirá (tarde que temprano) una posibilidad de un compromiso que se acerca a una certidumbre absoluta. En otras palabras, si puede ser comprometido, será comprometido.”[11]  En la conferencia de Tecnología, Entretenimiento, Diseño (TED) 2011, Glenny aseveró que ello reduce la efectividad de un análisis de riesgos basado en la probabilidad de ocurrencia de un ataque cibernético, así como de un fenómeno cibernético.[12]  Por lo tanto, la pregunta no es sobre que tan probable es un ataque, pero sí que tan posibles.

Baskerville y Portougal ofrecen un análisis de posibilidad relacionado con un ataque a un sistema computacional. Su función normativa expresa a un ‘hacker’ sin recursos acotados. Su función exponencial expresa a un ‘hacker’ con recursos limitados, como uno de los diversos métodos para obtener una contraseña (programas espía, phishing, etc…). Este mismo modelo puede ser utilizado para el análisis de la posibilidad de un ataque cibernético. La función normativa expresará la posibilidad de un único ‘hacker’ con recursos promedio y penetrando el sistema causando una serie de daños. Se pueden utilizar múltiples funciones exponenciales para expresar las variantes en recursos (habilidades del ‘hacker’, resistencia al intento, tiempo destinado por el ‘hacker’, fondos, numero de ‘hackers’, etc.), permitiendo modelar varios fenómenos cibernéticos juntos contra un sistema específico. Tal modelo desplegará una función normativa potencialmente cercana a 0 (sin posibilidad de un ataque exitoso); sin embargo, a medida de que se agregan más recursos, la función exponencial tenderá a 1 (completa posibilidad de un ataque exitoso) con cada agregado.

Haciendo referencia al modelo de la posibilidad, mientras que la posibilidad de que un ‘hacker’ sin experiencia (la función normativa) logre penetrar la red clasificada del Departamento de la Defensa se mantendrá a la baja, la posibilidad de que agentes de Rusia o China (funciones exponenciales) – quienes cuentan con una vasta cantidad de los mencionados recursos a su disposición – crecerá cercano a 1 a una tasa acelerada, mas grande que cualquier otra función exponencial. Mientras que la probabilidad de que uno de los millones de ataques cibernéticos tenga éxito en contra la milicia de un estado y/o la infraestructura crítica nacional es increíblemente baja, la posibilidad de que uno de ellos sea exitoso crece proporcionalmente a los recursos de los actores del estado. Por lo tanto, el objetivo no debe de ser reducir la probabilidad de éxito de un ataque; en su lugar, debe ser reducir la posibilidad de un ataque exitoso.

 

Conclusión

Un pensamiento final sobre las teorías de la probabilidad y posibilidad:

La teoría de la probabilidad nos induce a creer que no se puede descartar totalmente una intrusión. Esta renuncia se basa en el pensamiento de probabilidad que es productivo para múltiples eventos repetitivos. Sin embargo, en el caso de protección de infraestructura nacional, se puede ocasionar un mayor daño por una sola intrusión o cualquier otro evento único. Tal esquema no es cubierto por la teoría de la probabilidad.[13]

La amenaza de una guerra cibernética no puede ser evaluada mediante el uso de un análisis de riesgos tradicional; requiere un modelo diferente como la teoría de la posibilidad. Los funcionarios de la seguridad cibernética están en desacuerdo sobre el riesgo que representa para los Estados Unidos; los académicos del área también tienen una perspectiva diferente en la materia. Al utilizar el esquema de posibilidades podemos determinar que a medida que las vulnerabilidades permanecen sin abordar con el transcurso del tiempo, la amenaza crece. Por lo tanto, para reducir la severidad de la amenaza se deben de abordar las vulnerabilidades cibernéticas de los Estados Unidos.

 

Scott Reutter es graduado del Centro para Asuntos Globales de New York University, donde el obtuvo su grado de Maestría en Ciencias con concentración en relaciones internacionales y seguridad de la transportación. Sus principales áreas de interés son contra-terrorismo, seguridad cibernética y el Medio Oriente. Previamente, él estudió gobierno y política en St. John’s Universtiy. En su tesis Reutter analizó la severidad de la amenaza que plantea una guerra cibernética para la seguridad de los Estados Unidos. Scott puede ser contactado en sdr310@nyu.edu.


[1] Glenny, M. (2011, September). Hire the hackers! Retrieved February 18, 2012, from TED: http://www.ted.com/talks/misha_glenny_hire_the_hackers.html?quote=1062.

[2] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 5.

[3] Ponemon Institute LLC. (2010). First Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies. Traverse City, Michigan: Ponemon Institute LLC.

[4] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 4.

[5] Refer to Section C of this chapter for more on this issue.

[6] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, pp. 4-5; Glenny, M. (2009, June 25). Cyber armies are gearing up in the cold war of the web. Retrieved February 24, 2012, from The Guardian: http://www.guardian.co.uk/commentisfree/2009/jun/25/cybercrime-nato-cold-war.

[7] Baskerville, R., & Sainsbury, R. (2006). Analyzing Risk of Improbable Events: Managing Business Continuity and Information Warfare. International Conference on i-Warfare and Security 2006 (pp. 13-22). Baltimore: Academic Conferences Limited, 2006, p. 20.

[8] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 6.

[9] Baskerville, R., & Sainsbury, R. (2006). Analyzing Risk of Improbable Events: Managing Business Continuity and Information Warfare. International Conference on i-Warfare and Security 2006 (pp. 13-22). Baltimore: Academic Conferences Limited, 2006, p. 19.

[10] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 3.

[11] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 7.

[12] Glenny, M. (2011, September). Hire the hackers! Retrieved February 18, 2012, from TED: http://www.ted.com/talks/misha_glenny_hire_the_hackers.html?quote=1062.

[13] Baskerville, R. L., & Portougal, V. (2003). A Possibility Theory Framework for Security Evaluation in National Infrastructure Protection. Journal of Database Management, 1-13, p. 3.

Modelos de ingeniería para estimación de pérdidas por fenómenos naturales

Eduardo Reinoso

En este artículo se presentan los avances en la modelación para la estimación de pérdidas en la infraestructura sujeta a la acción de fenómenos naturales. La modelación del riesgo de pérdida es una herramienta importante y poderosa cuyos resultados ayudan a diseñar e implementar estrategias y programas de reducción de la vulnerabilidad, planeación territorial, planes de respuesta y preparación en caso de emergencias o programas de reconstrucción.

Los catastróficos impactos socioeconómicos sufridos durante las últimas décadas a raíz de desastres por fenómenos naturales, no solo en México sino alrededor del mundo, indican la alta vulnerabilidad que presentan los asentamientos humanos (rurales y urbanos), y la deficiencia en los niveles de protección financiera y social que se implementan para solventar el costo de las pérdidas económicas y humanas asociadas.

Un elemento clave para el desarrollo sustentable de cualquier región es el conocimiento del riesgo existente y las causas que lo generan, de tal forma que se puedan desarrollar diferentes planes y estrategias encaminadas a la prevención y mitigación de los daños ocasionados por fenómenos naturales. Para ello, es importante conocer con el mayor detalle posible, los tres componentes que lo definen: amenaza, exposición y vulnerabilidad.

Los modelos desarrollados sirven para definir, de manera georreferenciada, no solo la intensidad de los diferentes eventos producidos por fenómenos naturales como sismos, huracanes, inundaciones o deslizamientos de laderas, sino también, para caracterizar el comportamiento de la diferente infraestructura que se puede localizar en una región de estudio y estimar, en términos probabilistas, el riesgo generado. Estos modelos se han implementado en herramientas que ya se encuentran en operación como el R-FONDEN (Banco Mundial), herramienta que emplea la Secretaría de Hacienda y Crédito Público (SHCP) para llevar a cabo la transferencia del riesgo de la infraestructura pública, o la plataforma CAPRA, iniciativa impulsada por el Banco Mundial para la estimación del riesgo a través de metodologías estandarizadas que ayuden en la toma de decisiones sobre gestión del riesgo en diferentes países alrededor del mundo.

La modelación del riesgo es una herramienta importante y poderosa cuyos resultados sirven como base para diseñar e implementar estrategias que ayuden a los países, estados o municipios a llevar a cabo programas de reducción de la vulnerabilidad, planeación territorial, planes de respuesta y preparación para el caso de emergencias o programas de reconstrucción, de tal forma que sus capacidades de respuesta ante la ocurrencia de un fenómeno natural no se vean excedidas.

Modelo probabilista del riesgo

 En la actualidad se cuenta con una limitada cantidad de datos e información histórica acerca de eventos catastróficos, debido en algunos casos a la ocurrencia de desastres de baja frecuencia de repetición, y en otros, a desastres con una ventana temporal de atención reciente y corta. Considerando la posibilidad de presentarse eventos futuros altamente destructivos, la estimación del riesgo debe enfocarse en modelos probabilistas, que permitan emplear la escasa información disponible para predecir posibles escenarios catastróficos en los cuales se considere la alta incertidumbre involucrada en el análisis.

Considerando las grandes incertidumbres asociadas a la estimación de la severidad y frecuencia de recurrencia de desastres naturales, la evaluación del riesgo se basa en formulaciones probabilísticas que incorporan la incertidumbre en la estimación del riesgo.

Estimar el riesgo de desastres significa estimar el daño en las diferentes poblaciones y activos expuestos en lugares de interés calculando su vulnerabilidad ante fenómenos (naturales o antropogénicos) específicos y obteniendo la probabilidad y la intensidad con que uno de estos fenómenos llegue a ocurrir. A través de la combinación de estos parámetros, es posible obtener un valor cuantitativo de los activos en riesgo para un peligro o amenaza esperada. La estimación cuantitativa del riesgo se expresa en términos económicos o número de muertos o heridos. Para ello, se requieren datos de entrada confiable, definidos también en términos cuantitativos. Los principales datos de entrada para la estimación del riesgo son: peligro, exposición y vulnerabilidad (Véase figura 1).

Group 1

Como resultado del análisis de riesgo, en la figura 2 se presenta de manera resumida el procedimiento para la estimación probabilista del riesgo y sus diferentes medidas.

Group 2

Modelación de la amenaza

La amenaza asociada con un fenómeno natural se mide mediante la frecuencia de ocurrencia y la severidad medida mediante algún parámetro de intensidad del peligro determinado en una ubicación geográfica específica. El análisis de amenaza está basado en la frecuencia histórica de eventos y en la severidad de cada uno de ellos. Una vez que se definen los parámetros de amenaza, es necesario generar un conjunto de eventos estocásticos que definen la frecuencia y severidad de miles de eventos, representando así los parámetros principales de la amenaza en la región. El análisis de amenaza genera valores de los parámetros de intensidad definidos para cada una de las amenazas estudiadas y para cada uno de los eventos estocásticos planteados, mediante la modelación analítica de cada uno de los fenómenos.

Para lograr lo anterior, se han desarrollado una serie de modelos analíticos probabilistas para los principales fenómenos naturales tales como sismos, huracanes, lluvias intensas, inundaciones, deslizamientos y erupciones volcánicas. Como se muestra en la tabla I, cada uno de estos fenómenos de la naturaleza produce diferentes tipos de peligros, se deben considerar específicamente los eventos que pueden desencadenar situaciones de desastre.

Group T

El objetivo principal del análisis probabilista de amenazas es proporcionar la información necesaria de amenazas con el fin de calcular en forma confiable los diferentes parámetros probabilistas relacionados con las pérdidas y efectos de los diferentes fenómenos naturales, para diferentes periodos de retorno en el rango entre 10 y 1000 años siempre que sea posible, aunque pueden usarse periodos mayores en ciertos casos específicos como el de erupciones volcánicas.

Para cada uno de los peligros se construye un conjunto de escenarios estocásticos cada uno de ellos calificado con su frecuencia y severidad con base en la mejor información disponible al igual que en la opinión general de expertos en los diferentes campos.

El resultado de la evaluación de la amenaza es una base de datos para cada uno de los peligros estudiados que contiene un conjunto de eventos estocásticos, característicos de la amenaza total, mutuamente excluyentes y colectivamente exhaustivos, que corresponden a todos los posibles escenarios de amenaza que pueden presentarse en la región. Cada uno de los análisis de amenaza arroja una distribución geográfica en un área de influencia determinada de valores de intensidad particulares.

Otra forma de representar la amenaza es a través de curvas que representan, para un sitio en específico, la intensidad esperada de un evento dado (aceleración máxima del suelo, velocidad de viento, tirante de agua, etc.) asociado a un periodo de retorno o a su inverso, una tasa de excedencia.

 

Amenaza sísmica

Se propone la siguiente metodología para la definición del peligro sísmico:

  1. Definición y caracterización de las fuentes sismogénicas principales a partir de la información geológica y geotectónica.
  2. Definición de parámetros de sismicidad a las diferentes fuentes sísmicas. Estos parámetros, diferentes para cada fuente, definen la tasa de excedencia de cada una de las fuentes sísmicas, y se estiman por medio de procedimientos estadísticos que incluyen información sobre regiones tectónicamente similares a las del país (a través de información validada por expertos), especialmente sobre el valor de la magnitud más grande que una fuente puede generar.
  3. Generación de un conjunto de eventos estocásticos compatible con la distribución de ubicación, profundidad, frecuencias y magnitudes. Para cada fuente definida se generan una serie de escenarios de diversas magnitudes, cuyas probabilidades de ocurrir se calculan a partir la curva de recurrencia de magnitudes específica de esa fuente.
  4. Atenuación de parámetros de movimiento del terreno con base en leyes de atenuación que mejor representen las condiciones del movimiento entre las fuentes y los sitios donde se calcula la amenaza, ya sean leyes existentes en la literatura o creadas con información de datos locales.
  5. Generación de mapas de amenaza de eventos representativos con una distribución espacial de intensidad sísmica para cada evento. En la figura 3 se presentan de manera ilustrativa las aceleraciones máximas del suelo (PGA, Peak Ground Acceleration) para dos eventos sísmicos simulados, la figura 3a corresponde a las PGA de un sismo de subducción en la costa de Guerrero con una magnitud igual a 8.2 y la figura 3b corresponde a las PGA de un sismo simulado de magnitud 7.2 en la región noroeste del país debido a la falla de San Andrés.
  6. Modificación de parámetros de amenaza por efectos de sitio ya que la respuesta dinámica de depósitos de suelo modifica las características del movimiento en amplitud, contenido de frecuencias y duración ocasionando efectos de amplificación y deamplificación de la intensidad. Con la información obtenida se modifican directamente los mapas calculados en el paso (5).
  7. Aplicación del modelo probabilístico de amenaza sísmica para la obtención de mapas de amenaza sísmica para diferentes periodos de retorno. En la figura 4 se presentan mapas de amenaza sísmica para diferentes periodos de retorno obtenidos al aplicar la metodología mencionada anteriormente.

Group 3Group 4

Amenaza de viento

En las últimas décadas, en las regiones que se ven afectadas por la influencia de ciclones tropicales, se han invertido muchos esfuerzos por encontrar algún modelo numérico que permita determinar las condiciones costeras debidas a la presencia de huracanes, siendo los del tipo paramétrico los que más éxito han tenido.

Los modelos paramétricos de presión y viento dependen de la información siguiente: posición del ojo del huracán, presión central, velocidad máxima de viento sostenida en el ojo del huracán y radio ciclostrófico, conocido también como radio de máximo gradiente.

Además de lo anterior, para calcular las velocidades de viento para una ubicación en tierra se emplea la expresión propuesta en el manual de obras civiles. En la figura 5 se muestran un mapa con valores esperados de velocidades máximas de viento para un huracán similar al huracán Emily, ocurrido en el 2005.

Group 5

Amenaza de inundación

La metodología propuesta para la estimación de manchas de inundación debido a precipitaciones intensas se resume en los siguientes pasos

  1. Estimación de escenarios de precipitación a partir de registros históricos: se obtienen mallas regulares de precipitación (modelos digitales en formato grd) a partir de un campo inicial el cual se modifica sucesivamente mediante una función que pondera la información disponible en las estaciones climatológicas cercanas al sitio de estudio dentro de un radio de influencia especificado. Inicialmente se utilizará como campo inicial el conjunto de datos asimilados conocido como los Reanálisis Regionales de Norteamérica, NARR por sus siglas en inglés.
  2. Estimación de la probabilidad de ocurrencia de los escenarios históricos: A partir de mapas digitales de isoyetas del país asociadas a diferentes periodos de retorno para una duración de 24hr se realiza un proceso de interpolación en donde pixel por pixel se determina el periodo de retorno de cada una de las precipitaciones consideradas de tal manera que al final se conozca el periodo de retorno al que se encuentra asociada la malla de precipitación evaluada.
  3. Cálculo de la precipitación media por escenario para cada una de las cuencas: Para las subcuencas en estudio se determina la precipitación media asociada a cada escenario de precipitación mediante el uso de herramientas y programas que faciliten la manipulación de Sistemas de Información Geográfica. El procedimiento consiste en determinar cuál es el promedio de precipitación que se encuentra dentro de la subcuenca en estudio.
  4. Cálculo de volúmenes de escurrimiento asociados a escenarios de precipitación para las cuencas analizadas: Mediante el uso del método racional americano, se determinan los volúmenes de escurrimiento para cada una de las subcuencas analizadas. Para esto se utiliza información sobre las propiedades de las subcuencas (parteaguas, área, cauces principales, pendiente, tiempo de concentración, etc.).
  5. Estimación de las manchas de inundación para cada escenario de precipitación: Para estimar las manchas de inundación correspondientes a los distintos escenarios de precipitación se elaboraron curvas de Volumen-Elevación para cada una de las subcuencas en las que se dividen las zonas de estudio. Para conocer el tirante de agua en una ubicación dada, únicamente se obtiene la diferencia entre la cota de inundación y la elevación natural del terreno en el punto deseado. Este procedimiento acumula el volumen de agua desde las zonas más bajas hasta las más altas de las cuencas analizadas.

Para llevar a cabo el último paso, se recurre a tecnología LIDAR, la cual permite hacer mediciones con láser de la topografía de un lugar desde una aeronave, proporcionando información tridimensional acerca de la forma de la superficie terrestre. La definición que se alcanza mediante está tecnología permite obtener detalles sobre los árboles, arbustos, edificaciones, entre otros.

Una vez conocida la relación existente entre la elevación y el volumen de inundación para cada subcuenca se utilizan los volúmenes de escurrimiento estimados para cada uno de los escenarios propuestos y se extrae la elevación de la superficie de agua asociada.

Caracterización de la exposición

 La exposición se refiere principalmente a los componentes de infraestructura o a la población expuesta que puede verse afectada por un evento determinado. Para realizar la caracterización de la exposición es necesario identificar los diferentes componentes individuales incluyendo su ubicación geográfica, sus características geométricas, físicas e ingenieriles principales, su vulnerabilidad ante el evento amenazante, su valoración económica y el nivel de ocupación humana que puede llegar a tener en un escenario de análisis determinado.

Los valores de exposición de bienes en riesgo se estiman a partir de fuentes de información secundaria como bases de datos existentes, o pueden ser derivados por medio de procedimientos simplificados basados en información social y macro económica general, como densidad poblacional, estadísticas de construcción o información particular más específica. Con base en la información disponible, se crea una base de datos de exposición, construida de manera geo-referenciada, donde se incluye toda la  información específica requerida para el análisis.

Por otro lado pueden utilizarse una serie de herramientas útiles para levantar información a partir de imágenes satelitales, fotografías aéreas o directamente mediante visitas de campo. Estas herramientas permiten conformar bases de datos georreferenciadas con algunas características básicas tales como tipo constructivos, área y número de pisos, lo cual puede luego complementarse con estadísticas de la zona, con zonificaciones previas de los tipos constructivos en la ciudad o mediante observaciones directas de campo.

El análisis debe en general incluir todos los activos físicos sujetos a riesgo por cuenta de cualquiera de las amenazas mencionadas. Dentro de los activos se incluyen las obras de infraestructura principales: edificios, casas, instalaciones industriales, caminos y carreteras, puentes, sistema eléctrico incluyendo generación, subestaciones y transmisión, sistemas de comunicaciones, sistemas de tuberías (agua potable, alcantarillado, oleoductos, gasoductos, etc.), túneles, presas, plantas nucleares

Costo de reconstrucción

El costo de reconstrucción es un insumo de gran importancia para la definición de los estimadores puntuales del riesgo. La valoración incluye tanto el valor del bien como tal (elementos estructurales y no estructurales principales) como la valoración de contenidos susceptibles al daño. Por ejemplo para el caso de inundaciones normalmente los daños están asociados a los contenidos y a una porción de la estructura que requiere reparación y mantenimiento después de ocurrido el desastre.

Modelación de la vulnerabilidad

La caracterización de la vulnerabilidad se realiza mediante la generación de funciones que relacionan el nivel de daño de cada componente con la intensidad del fenómeno de amenaza. La función de vulnerabilidad debe estimarse para cada uno de los tipos constructivos característicos, de manera que puedan asignarse a cada uno de los componentes de la base de datos de exposición. Mediante las funciones de vulnerabilidad asignadas es posible cuantificar el daño o afectación producida en cada uno de los activos ante la acción de un evento determinado, caracterizado por alguno de los parámetros de intensidad. Cada función de vulnerabilidad está caracterizada por un valor medio y una varianza con lo cual es posible estimar su función de probabilidad respectiva.

En general las funciones de vulnerabilidad se definen utilizando uno o varios de los siguientes tipos de información: modelos analíticos, ensayos de laboratorio, datos estadísticos y opinión de expertos.

A continuación, se presenta una descripción sobre la obtención de funciones de vulnerabilidad para la amenaza sísmica.

 

Vulnerabilidad sísmica

Daño esperado

En el desarrollo metodológico que se presenta a continuación, la intensidad sísmica se mide principalmente a través de la aceleración espectral y el comportamiento de la estructura está definido en términos de la distorsión máxima de entrepiso, por considerarse como el parámetro que mejor refleja el daño que la estructura podría sufrir ante tal intensidad.

Considerando que el daño está expresado en general en términos de la distorsión máxima de entrepiso, es necesario transformar las funciones de vulnerabilidad para que queden expresadas en términos del parámetro requerido por la amenaza. Además, para su estimación debe considerarse el comportamiento inelástico de la estructura para lo cual debe recurrirse a algún método aproximado de cálculo inelástico de respuesta sísmica estructural.

Así como se han presentado las bases para la estimación de la vulnerabilidad estructural ante acciones sísmicas, el Instituto de Ingeniería ha desarrollado diferentes metodologías para la estimación de la vulnerabilidad estructural y humana ante la acción de otros fenómenos naturales como viento, inundación, deslizamiento de laderas, licuación de arenas, tsunami y marea de tormenta, entre otros.

 

Estimación del riesgo

Con base en los modelos probabilistas de amenaza propuestos y en el inventario y valoración de activos expuestos con sus funciones de vulnerabilidad correspondientes, se ha desarrollado un modelo de análisis de riesgo probabilista o modelación de pérdidas probabilística para el país o zona de análisis.

Para ello, es necesario plantear entonces la metodología específica de cálculo de las frecuencias de ocurrencia de niveles específicos de pérdidas asociados a los activos expuestos en lapsos determinados y ante la ocurrencia de amenazas naturales.

El riesgo por amenazas naturales es comúnmente descrito mediante la llamada curva de excedencia de pérdidas (loss curve) que especifica las frecuencias, usualmente anuales, con que ocurrirán eventos en que se exceda un valor especificado de pérdidas. Esta frecuencia anual de excedencia se conoce también como tasa de excedencia, y puede calcularse una de las múltiples formas que adopta el teorema de la probabilidad total.

El análisis probabilista de riesgo se realiza normalmente para un conjunto completo de escenarios especificados en las diferentes amenazas. Sin embargo, si así se desea, el análisis puede realizarse para un solo escenario.

Estimadores del riesgo

Pérdida Anual Esperada: la PAE se calcula como la suma del producto entre las pérdidas esperadas para determinado evento, y la probabilidad de ocurrencia de dicho evento en un periodo de un año, para todos los eventos estocásticos considerados. En términos probabilistas, la PAE es la esperanza matemática de la pérdida anual.

Prima Pura de Riesgo: la PPR corresponde al valor de la PAE dividido por el valor de reposición del activo. Indica el costo que debe ser pagado anualmente para cubrir las pérdidas esperadas en un evento futuro. Se expresa en porcentaje o milésimas del valor de reposición.

Curva de Excedencia de Pérdida: la CEP representa la frecuencia anual promedio con que determinada pérdida económica se verá excedida. Es la medida más importante en el manejo del riesgo, dado que brinda información básica para la planeación y destinación de recursos necesarios para cumplir con los objetivos de gestión particulares. La CEP se puede calcular a partir del mayor evento probable en un año, o de manera uniforme para todos los eventos posibles, en función de su periodo de retorno. Generalmente se prefiere el segundo enfoque, dado que permite considerar más de un evento catastrófico al año.

Pérdida Máxima Probable (Probable Maximum Loss): la PML representa el valor de pérdida global en el portafolio para una tasa de excedencia dada. Dependiendo de la capacidad de la entidad para manejar el riesgo, se puede optar por gestionar pérdidas hasta determinado periodo de retorno.

Implementación de la modelación

R-FONDEN

Desde el 2007, el Comité Técnico del Fondo de Desastres Naturales (FONDEN) ha llevado a cabo varios estudios para estimar, de una mejor manera, el riesgo por desastres naturales en México. El proyecto “Integración, análisis y medición de riesgo de sismo, inundación y ciclón tropical en México para establecer los mecanismos financieros eficientes de protección al patrimonio del fideicomiso FONDEN del Banco Nacional de Obras y Servicios Públicos (BANOBRAS)”, desarrollado por el Instituto de Ingeniería de la UNAM, está enfocado en identificar los activos expuestos a desastres naturales como: carreteras, puentes, hospitales, escuelas, infraestructura hidráulica y viviendas en pobreza patrimonial, emplea los diferente modelos mencionados anteriormente y los conjuga en una herramienta computacional llamada R-FONDEN.

El sistema R-Fonden se ha usado para mejorar las pólizas individuales de seguros de las diferentes dependencias federales, por ejemplo, permitió diseñar un esquema de aseguramiento para la Secretaría de Comunicaciones y Transportes a cargo de las carreteras y puentes federales, situación que anteriormente era imposible debido a la carencia de información. Además, este programa se empleó para diseñar el esquema de aseguramiento de la Secretaría de Educación Pública.

CAPRA

A partir del 2009, el Banco Mundial ha implementado una iniciativa en Centro y Sudamérica que consiste en crear grupos especializados para la gestión del riesgo conformados por académicos de diferentes universidades, servidores públicos de los diferentes gobiernos e ingenieros expertos de la práctica. El objetivo de esta iniciativa es desarrollar herramientas de evaluación y comunicación de riesgo con el fin de sensibilizar a tomadores de decisiones acerca del potencial de desastres de origen natural, formular estrategias de gestión de riesgos a nivel subnacional, nacional e regional, desarrollar una metodología común para evaluar y cuantificar el riesgo de desastres.

Para ello, se ha desarrollado una plataforma para la modelación probabilista del riesgo compuesta por diferentes elementos que permiten estimar diferentes amenazas como: sismo, lluvia, inundación, deslizamiento, y para la definición de la vulnerabilidad. Tolo lo anterior se conjuga en una herramienta denominada CAPRA-SIG.

Conclusiones

Con base en los modelos de amenaza probabilistas mencionados y en el inventario y valoración de activos expuestos con sus funciones de vulnerabilidad correspondientes, es posible llevar a cabo el análisis de riesgo probabilista o modelación de pérdidas probabilística para un país o zona de análisis.

El conocimiento de las condiciones regionales de ocurrencia de eventos peligrosos, así como las características reportadas sobre eventos históricos importantes, proveen una primera idea del potencial destructivo de los fenómenos que amenazan la región, y permite conocer anticipadamente, de manera aproximada, los periodos de retorno de los eventos más importantes.

Los avances actuales en el desarrollo y presentación de la información geográfica y georreferenciada, permiten adelantos importantes en los análisis de amenaza de eventos recurrentes. La distribución espacial de intensidades asociadas a fenómenos naturales adversos, es un insumo fundamental para la posterior evaluación del riesgo. El manejo de este tipo de información por medio de capas en sistemas de información geográfica, permite la automatización de los procesos de cálculo de riesgo, así como una comunicación simple y ágil de resultados.

La estimación de la vulnerabilidad estructural ante diversos fenómenos naturales a través de métodos cuantitativos hace posible expresar el riesgo a través de diferentes indicadores puntuales necesarios para la gestión integral del riesgo.

Con este tipo de herramientas e iniciativas, hoy en día es posible generar información para llevar a cabo una gestión integral del riesgo, desde su transferencia hasta su prevención y mitigación a través de planes e iniciativas que ayuden en la toma de decisiones, logrando con esto, una mejor calidad de vida para la sociedad.

Reconocimientos

Los resultados y metodologías presentados en este trabajo han sido producto de varios años de investigación desarrollada por los autores en el Instituto de Ingeniería de la UNAM (Universidad Nacional Autónoma de México) y en ERN (Evaluación de Riesgos Naturales y Antropogénicos) con la colaboración de Carlos Avelar, Marco Torres, Octavio Hinojosa.

Desde 1985, Eduardo Reinoso ha desarrollado investigaciones y productos para conocer y mitigar el riesgo sísmico. Recientemente ha extendido estas investigaciones a otras amenazas naturales como tsunami, huracán, inundación, erupción volcánica, granizo, entre otros. ERN es una empresa dedicada a ofrecer productos y servicios para la estimación de los riesgos naturales y poder así tomar medidas tanto financieras cómo físicas para protegerse y mitigarlos. direccion@ern.com.mx

Con más de 30 años de experiencia en el análisis y modelación de riesgos naturales, en particular el riesgo sísmico, Mario Ordaz es creador del software CRISIS que es usado en varias partes del mundo para generar mapas de amenaza sísmica. Recientemente ha desarrollado algoritmos para la modelación de la trayectoria de huracanes, y es el coordinador general de proyectos tan relevantes como el CAPRA y el R-FONDEN. Comuníquese con él en mordaz@ii.unam.mx.

Dr. Miguel Jaimes ha realizado proyectos para el sector asegurador y del gobierno, los cuales consisten desde la estimación de pérdidas por sismo en edificios, en la red de agua potable y alcantarillado, en caminos y carreteras hasta del número esperado de víctimas a nivel ciudad y país. Además ha colaborado en el desarrollo de proyectos como es el caso del  R-FONDEN que permite la estimación probabilista de riesgos en la infraestructura, el primero para el fondo de desastres naturales en México para el gobierno federal. Comuníquese con él en mjaimest@ii.unam.mx.

Trabajando en ERN como coordinador experto, Mauro Niño, ha llevado a cabo varios proyectos de investigación sobre análisis de peligro debido a deslizamientos de laderas por el efecto de sismos y lluvias, así como el análisis del daño en puentes por socavación. Además, ha participado en la estimación del peligro por licuefacción de arenas y ha coordinado la gestión y creación de bases de datos de activos expuestos del patrimonio público federal del proyecto mexicano R-FONDEN. Comuníquese con él en mauro_nino@ern.com.mx.

Benjamín Huerta ha colaborado en la realización de sistemas de cómputo para la estimación de riesgos naturales dirigidos al sector asegurador y a los gobiernos, ha contribuido con la adaptación de modelos de peligro y vulnerabilidad ante las amenazas de sismo, tsunami e inundación desde 2001. También ha brindado servicios de asesoría para la estimación de pérdidas y mitigación de riesgo natural de conjuntos de inmuebles y de estructuras no convencionales y ha organizado e impartido cursos de temas relacionados con los fenómenos naturales en varios países latinoamericanos. Comuníquese con él en benjamin_huerta@ern.com.mx.

Necesidades de continuidad de negocio en Costa Rica

Karol Cordero

Al identificar la falta de personal experto y destreza en continuidad de negocios, PwC Costa Rica identificó la solución.

En Costa Rica, tanto las instituciones y empresas de gobierno, como la empresa privada, han evolucionado continuamente en su interés y sus inversiones relacionadas con la gestión de continuidad de negocio en sus organizaciones.

En el año 2007, la Contraloría General de la República, aprobó y publicó las Normas Técnicas para la gestión y el control de las Tecnologías de Información, las cuales se les aplica a todos los entes públicos y por lo tanto, a partir de su vigencia, las instituciones de gobierno inician la formulación de proyectos en función de su cumplimiento. Dicha normativa, en el punto 1.4.7 continuidad de los servicios de TI, establece que “La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad.”.

A raíz de lo anterior, debido a la falta de personal experto en la materia de continuidad de negocio y de la experiencia requerida con el fin de implementar las tareas necesarias para dar cumplimiento a la normativa, se hizo necesaria la búsqueda de empresas con el conocimiento y la destreza para ofrecer servicios de consultoría a las instituciones de gobierno, en función de colaborarles con la implementación de su gestión de la continuidad del negocio y en caso específico, de los servicios de TI.

PwC Costa Rica creó la respuesta

Fue así como PwC Costa Rica comenzó a capacitar a su personal en la continuidad del negocio y a apoyar a las organizaciones. Debido a que el nivel de madurez era prácticamente nulo, se dio inicio con el logro primeramente del entendimiento de la organización, realizando en las empresas análisis de impacto en el negocio (BIA) y análisis de riesgos de continuidad (RA), amparados en las mejores prácticas de BS 25999 y del DRII (Disaster Recovery Institute International).

Poco a poco, la empresa privada comenzó a tener también la necesidad de contar con planes que respalden la continuidad de sus operaciones y una factible recuperación en caso de sus interrupciones. En el sector privado, más que una necesidad de cumplimiento regulatorio, el interés nació debido a que el contar con un BCP (plan de continuidad de negocios) y/o un DRP (plan de recuperación de desastre) les significa una ventaja competitiva, un seguro a su reputación e imagen y una protección para sus activos. De igual modo, en este sector también se inició con el desarrollo de proyectos cuyo alcance consistía en la elaboración de BIAs y RAs, dada la falta de madurez en la materia.

Análisis y resultados

Mediante el desarrollo de los análisis de impacto en el negocio en los principales bancos e instituciones financieras del área, pequeñas, medianas y grandes empresas, y entidades de gobierno en general, hemos encontrado que se repite el patrón 80:20 en los resultados, donde solamente el 20% de las funciones de las organizaciones resultan críticas para el negocio (véase Gráfico 1 Porcentaje de funciones críticas).

Cordero 1

La definición del foco de concentración en este 20% de funciones permite la realización de RAs más dirigidos a lo que es realmente crítico en la organización, y el realizar el BIA antes que el RA, ha facilitado lo antes dicho, así como la organización y gestión de recursos durante el análisis de riesgos.

Durante la realización de los proyectos de BIA y RA, se ha buscado siempre participar al personal clave en la ejecución, de manera que se permita una transferencia de conocimiento con dos enfoques: el primero de ellos dirigido al personal encargado de dar gestión a la continuidad de negocio en la organización, donde mediante la técnica de “aprender haciendo” se procura compartir el conocimiento como expertos para que la organización pueda de manera independiente continuar con la administración de los resultados obtenidos con nuestro acompañamiento. El otro enfoque es dirigido al personal del negocio, dueños de los procesos y funciones críticas, de modo que se busca crear una cultura de la continuidad del negocio, procurando así fomentar la importancia de la inversión de tiempo, recurso humano, financiero y otros a la gestión adecuada de la continuidad, como parte de los objetivos estratégicos de la organización.

Para la industria en Costa Rica, de cara a establecer la continuidad de las operaciones en las organizaciones, el contar con personal certificado como CBCP y como Auditores Líderes BS 25999, especialistas en continuidad de negocio y recuperación ante desastres ha sido clave, y ha facilitado enormemente la labor realizada en estos proyectos.

La educación de continuidad de negocio

De lo anterior surge el hecho de que en Costa Rica se ofrezcan, en conjunto con BSI, cursos de continuidad de negocio, como el de auditor líder BS25999 (actualmente ISO 22301) o cursos enfocados en BS 25777 (actualmente ISO 27031), con lecciones presenciales con profesionales del más alto nivel, que permiten el aprendizaje de la comunidad y la industria, junto con la obtención de tan reconocidas certificaciones.

Cordero 2

Después de varios años recorridos en las diversas industrias fomentando la cultura de continuidad de negocio y su importancia, las organizaciones en Costa Rica ya han concretado el desarrollo de planes de comunicaciones, de gestión de crisis y de emergencias; como parte primordial de su sistema de gestión de continuidad de negocio. Desde la perspectiva de las áreas de TI, el desarrollo de estrategias de recuperación y su implementación también ha sido parte de los avances, así como el desarrollo de planes de recuperación ante desastres, alineados a lo dictado por el negocio a partir de los resultados de un BIA y un RA, fomentando siempre la importancia de la participación y patrocinio de la administración superior.

La industria cuenta con una metodología probada de nivel mundial, apoyada en herramientas que realmente generan valor en las organizaciones, y permiten no solo el desarrollo correcto de planes de continuidad de negocio, sino también la realización de las pruebas y ejercicios necesarios, el establecimiento de procedimientos y política de continuidad de negocio, haciendo más fácil su gobierno e introducción formal en las organizaciones, así como el aprendizaje requerido para lograr un mantenimiento y mejora continua de los resultados logrados.

Seminario Internacional de Continuidad de Negocio

El pasado mayo de 2012 se ofreció en Costa Rica el primer Seminario Internacional de Continuidad de Negocio, donde la industria compartió con expositores como Alan Berman, Jorge Escalera, Ellie Borges, Arturo Rebolledo y otros profesionales de continuidad de negocio del más alto nivel, compartiendo experiencias de los Estados Unidos, México, Brasil, Chile y por supuesto Costa Rica.

En dicho seminario se recibieron aproximadamente a 80 participantes de todo tipo de industrias: financiera, petroleras, productoras de comestibles, municipalidades, productoras de café, telecomunicaciones, entre otras, tanto del sector privado como de gobierno y no solo de Costa Rica, sino también de Venezuela, República Dominicana y Guatemala, lo que logró espacios de participación sumamente enriquecedores y pudimos compartir necesidades, experiencias y lecciones aprendidas desde muchas perspectivas.

Al finalizar el seminario, los participantes llenaron una encuesta que arrojó datos interesantes como lo son que solamente el 62% de quienes respondieron están interesados en desarrollar un BCP, lo que puede representar que casi la mitad ya cuentan con un BCP en su organización, mientras que un 81% aún tienen interés en el desarrollo de un DRP, lo que refleja que los cambios en tecnología siguen teniendo un alto impacto en las organizaciones. Lo que resulta más interesante es que la mayor cantidad de encuestados muestran interés en el aprendizaje de la gestión de continuidad, un 96% mediante capacitaciones y un 100% con interés en seminarios tal como el realizado (véase Gráfico 2).

Los pasos a futuro son compartir toda esta experiencia y conocimiento con el resto de la región, desarrollando la continuidad de negocio en países como Panamá y República Dominicana. Para esto se está organizando por PwC un taller de Continuidad de Negocio en Panamá para finales de enero del 2013.

Actualmente, en función de continuar brindando a nuestros clientes la oportunidad de aprendizaje en pro de la mejora continua de la gestión de la continuidad y tomando en consideración los resultados mencionados, PwC Costa Rica se ha unido al DRII para brindar el curso BCLE 2000 en Costa Rica, proponiéndonos como pasos siguientes el poner al alcance de los costarricenses y la región centroamericana la oportunidad de certificarse como CBCP a más bajos costos, sin necesidad de trasladarse fuera de la región. Es así como PwC representa ahora a DRII en Costa Rica.


Karol Cordero es consultora sénior de la práctica Gobierno, Riesgo y Cumplimiento (GRC) de PwC Costa Rica. Posee amplia experiencia en continuidad de negocio y seguridad de la información en el sector financiero, gobierno y empresa privada, destaca por sus conocimientos en administración de proyectos alineados con requerimientos regulatorios y mejores prácticas. Es graduada de computación e informática de la Universidad de Costa Rica y posee una maestría en ingeniería de tecnologías de información con mención en administración de proyectos.

Es certificada Auditor Líder BS25999 y Auditor Líder ISO 27001 por el BSI, CBCP por el DRII, CobiT, ITIL, CISM por ISACA y PMP por el PMI. Cordero es especialista en realización de análisis de impacto al negocio, análisis de riesgos de continuidad, desarrollo de estrategias y documentación de planes de BCM. Coordinadora del Seminario Internacional de Continuidad de Negocio de PwC Costa Rica y posee experiencia brindando capacitaciones de BCM en todos los niveles organizacionales. Comuníquese con ella en Karol.cordero@cr.pwc.co.

Colombia avanza en la gestión de riesgos y continuidad del negocio

Carlos Alberto Vargas Sabogal

En Colombia en la última década, se aceleró el proceso de implementación de modelos de gestión de riesgos, con un ingrediente adicional: la continuidad del negocio. Esto ha sido facilitado por medidas proactivas gubernamentales y la atención continua de desastres. Este panorama le ha permitido a Colombia liderar la formación de profesionales para la gestión de la continuidad del negocio, conocedores y manejadores de las mejores prácticas profesionales adquiridas del DRI International.

 

Desde sus inicios en Colombia, hace más de veinte años, el estudio riguroso del riesgo ocupa un pedestal importante en la visión estratégica de su industria, liderado por las grandes empresas nacionales y multinacionales en sectores económicos en los que las pérdidas por su materialización son potencialmente cuantiosas, como en el financiero, el minero-energético, las comunicaciones, los alimentos y la construcción de vivienda y transporte; muchos ejemplos así lo demuestran.

En el campo gubernamental, hasta el año 2011, la atención de desastres estaba a cargo del ministerio del interior y de justicia; con la reciente creación de la dirección general de riesgo como un staff de la presidencia de la república, se genera una estrategia mucho más fuerte e importante con su visión proactiva dirigida hacia la prevención y atención de tragedias producidas por fenómenos naturales como inundaciones, terremotos y deslizamientos de alto impacto inmediato. Los siguientes ejemplos hacen de Colombia un escenario interesante y propicio en el que se puede aprender y donde se deben aplicar los modelos teóricos para demostrar su practicidad:

  • La avalancha del rio Lagunilla, producto del deshielo del nevado del Ruiz ocurrido en el municipio de Armero departamento del Tolima en el centro occidente del país en noviembre de 1985 que dejó cerca de 25,000 víctimas y su completa desaparición

 Colombia 1

  • El desbordamiento del río Páez en el departamento del Cauca al suroccidente colombiano en el año 1994 con mas de 1,000 muertos y miles de hectáreas afectadas con pérdidas económicas superiores a los diez millones de dólares
  • Las inundaciones inverosímiles ocurridas en todo el territorio nacional con motivo de las olas invernales de los años 2010 y 2011, uno de cuyos eventos fue la inundación del campus de la Universidad de la Sabana en mayo de 2011, en el cual la activación de su plan de continuidad del negocio le permitió reanudar sus procesos críticos en menos de tres días disminuyendo las pérdidas de manera significativa

Colombia 1 point 5

  • Las explosiones en socavones donde se practica la minería, en muchos casos ilegal en los departamentos andinos de Antioquia, Caldas, Boyacá,
  • El terremoto de Armenia en enero del año 1999 que dejó más de 800 muertos y pérdidas superiores a los diez millones de dólares

 Colombia 2

  • El terremoto de Popayán el 31 de marzo de 1983 que dan cuenta de 250 muertos, 1,500 heridos, 4,964 construcciones destruidas y 13,796 viviendas con daños muy graves
  • Los aunados a la larga guerra fratricida interna y silenciosa que cumplió cincuenta años y que se refleja en ataques despiadados a la infraestructura petrolera, vial y de comunicaciones

En la última década y con ocasión del evento del 11 de septiembre de 2001, se aceleró el proceso de implementación de modelos de análisis de riesgos, con un ingrediente adicional que le da la razón de ser a la gestión del riesgo: la continuidad del negocio. Empresas de diversos sectores económicos, entre los más representativos:

  • El financiero (que agrupa a bancos comerciales, aseguradoras y compañías de financiamiento comercial), donde la normativa de esta industria exige la implementación de sistemas de gestión de riesgos y continuidad del negocio
  • El minero-energético
  • La logística y mensajería
  • Los alimentos y bebidas
  • El gobierno central

Estos sectores han desarrollado e implementado modelos de continuidad que muestran resultados tangibles, y que se reflejan principalmente en: menores gastos en pólizas de seguros, mejoras en sus procesos productivos, eficiencia en el servicio al cliente y aumento en la conciencia colectiva sobre continuidad del negocio.

Con la timidez que caracteriza la implementación de nuevos modelos para asegurar la prestación continua de servicios y la entrega oportuna de productos, se ha abierto paso la necesidad de contar con estructuras fuertes, capacitadas y con el presupuesto suficiente para su funcionamiento en todos los sectores en los que la legislación está entendiendo que la seguridad en el servicio es el componente más importante para el crecimiento individual y colectivo de las empresas. Las mejores prácticas profesionales del Disaster Recovery Institute International (DRI International) y los estándares de otras instituciones están demostrando su aplicabilidad y beneficio inmediato, particularmente en Colombia, y en toda la región en general, que son el mejor vehículo para lograrlo.

La inclusión de las cadenas especializadas de suministro en los procesos productivos como resultado de tercerización por especialización y optimización de costos de mano de obra, determinan la implementación de modelos de continuidad, no solo como requisito para ser tomado en cuenta, sino que permiten conformar estructuras ganar-ganar que fortalecen toda la gestión empresarial. Esto se está evidenciando cada vez que se abren convocatorias de proveeduría de servicios en las grandes empresas públicas y privadas dedicadas a la producción de bienes y suministro de servicios intangibles como comunicaciones, mensajería, educación y bienestar.

Tenemos en el horizonte retos importantes derivados de la firma de acuerdos comerciales como el TLC (Tratado de Libre Comercio) con los Estados Unidos, Canadá, Suiza, la Unión Europea, Corea, México, Perú y Chile, la eliminación de la doble tributación con Venezuela, que nos obligan a responder rápidamente a los cambios externos para mantener bajos costos de operación, excelentes niveles de respuesta a emergencias y a aplicar nuevos modelos tecnológicos sin generar impactos económicos, controlando en mayor medida los posibles riesgos de la continuidad del negocio.

Todo este panorama le ha permitido a Colombia liderar la formación de profesionales para la administración de riesgos y la gestión de la continuidad del negocio como conocedores y manejadores de las mejores prácticas profesionales adquiridas del DRI International, institución que comanda y rige esta especialidad en todo el continente americano, ya que a la fecha, cuenta con el mayor número de profesionales certificados (ABCP, CBCP, MBCP) en Latinoamérica, después de los Estados Unidos, por encima de países con economías más fuertes como la de Brasil o la de México.

Este reconocimiento acompañado de grandes logros que se reflejan en el rápido desarrollo económico de los últimos años, el avance en la implementación de nuevas tecnologías informáticas, la preparación obligada hacia la gestión de riesgos y como parte del quehacer de todos los negocios y empresas, lo estamos trasladando a los sectores económicos y a países en donde sabemos que se debe llegar pronto a estos niveles de productividad exigidos por la globalización.

Desde hace más de diez años Carlos Alberto Vargas Sabogal, CBCP, se desempeña como consultor en la implementación de programas de la continuidad del negocio, planificación de pruebas y programas de capacitación corporativa en compañías de diferentes sectores económicos dentro y fuera de Colombia. Es ingeniero industrial de la Universidad Incca de Colombia, licenciado en idiomas de la Universidad Nacional de Colombia, CBCP del DRI International y profesional certificado en las normas ISO 18001 e ISO 19001. Ha sido docente en la Universidad Central de Bogotá; además, es columnista y colaborador en el periódico regional La Calle.  Comuníquese con él en cvargas@iteam.com.co.

BCM en un país bendecido por Dios

Alexandre Costa Guindani

En muchas organizaciones, la alta gerencia y los administradores son escépticos sobre la ocurrencia de un desastre o de interrupción seria para el negocio. En este artículo se comparten experiencias y tips para obtener el apoyo de la alta gerencia y hacer del tema de continuidad del negocio un tema de interés y compromiso en toda la organización.

 

La administración de la continuidad del negocio (BCM: Business Continuity Management) continúa siendo un tema nuevo para la gente de Brasil. Como lo decía Jorge Ben Jor, un famoso cantante Brasileño, vivimos en un país “bendecido por Dios”, en el cual, los desastres naturales, como los sismos y huracanes, raramente ocurren o inclusive no ocurren.

El no tener de este tipo de eventos ha hecho que la gente, administradores y las compañías consideren que nada malo sucederá, y les genera un sentido de inmunidad hacia los desastres u otras serias interrupciones. Esto ocasiona que las corporaciones brasileñas nieguen sus vulnerabilidades y asuman que no requieren de un programa efectivo de continuidad del negocio.

Algunas de las aseveraciones frecuentemente escuchadas por los responsables de BCM a nivel corporativo incluyen frases como “esto jamás ha sucedido” o “esto nunca nos sucederá a nosotros”. Entonces, ya que nada sucederá, un sistema de continuidad parece una pérdida de tiempo y de recursos.

Estos son algunos consejos para la implementación de BCM para aquellos quienes viven en “países bendecidos” o en países en donde no se cuenta con una cultura BCM:

Sea un misionero

Utilice toda oportunidad para divulgar la administración de la continuidad del negocio, o en caso de contar con ello, el programa corporativo de BCM. Muéstrele a todos, los beneficios que el sistema puede traer a la compañía, ya sean financieros, legales o relacionados con la reputación de la compañía o marca. Sea un maestro en el tema. Estudie, sea un profesional certificado. Fundaméntese en las mejores prácticas, haga buen uso de la oferta disponible de los institutos de BCM y del intercambio de conocimientos.

Comience con algo pequeño

No hay tal como una receta para la implementación de BCM. Lo que funciona para una compañía puede que no funcione para otra, aun y trabajen en la misma industria. La administración de la continuidad del negocio cuenta con un componente cultural complejo y su desarrollo debe ajustarse a los directivos, empleados y tradiciones de la misma corporación. Sin lugar a dudas, el mejor modelo BCM es el que está hecho a la medida, el que es desarrollado internamente por los empleados y sus propios recursos.

La implementación del BCM comienza como un proyecto, y como cualquier otro proyecto, las tareas deben ser entregadas de acuerdo a las fechas establecidas. La velocidad en el cumplimiento de estas tareas dependerá del soporte de la alta gerencia y de la disponibilidad de recursos.

El proyecto puede tomar un periodo largo para mostrar los resultados, ello dependiendo del tamaño de la compañía y del alcance definido. Posiblemente la mejor estrategia sería avanzar lentamente pero con paso firme, con pequeños componentes del proyecto. Esto mantendrá el proyecto vivo y en la mira de la alta gerencia. Comience pequeño, piense en grande y siempre evolucione.

Persuada y fascine

Hay dos cosas que pueden poner en riesgo el desarrollo de un programa de BCM: la falta de apoyo de la alta gerencia y la falta de compromiso de los empleados. Si queremos tener éxito necesitamos probar a la alta gerencia que la implementación de BCM es necesaria y que traerá ganancias reales a la organización.

El apoyo de la alta gerencia es fundamental para BCM. Es por ello que lograr el involucramiento del equipo gerencial es un factor crítico para el éxito. Asegúrese de que ellos conocen lo que es BCM y lo que representa para la compañía. Recuerde que no es posible desarrollar estrategias de continuidad sin inversión y la alta gerencia es quien firmará el cheque. No olvide que la mayoría de los empleados se interesaran en BCM si saben que la alta gerencia apoya esta idea.

Asegúrese de mantener a todos los empleados involucrados en cada fase de la implementación del programa de BCM. Nadie puede desarrollar buenos planes y mantenerlos actualizados si ellos no entienden completamente la razón por la cual lo están desarrollado. La mayoría de las personas considera que es molesto documentar sus actividades y describir sus procedimientos. Algunos inclusive estarán en contra de ello, porque temen que mediante la documentación de su trabajo ellos serán prescindibles. Tenga en mente estos potenciales errores.

Manténgalo simple 

La administración de la continuidad del negocio es un proceso complejo, inclusive para quienes lo dominan. Es necesario hacerlo simple y fácil para todos. Desarrolle modelos y manuales fáciles de entender. Recuerde que aquellos planes extensos y complejos serán inoperantes en situaciones críticas, cuando “menos” puede tener un significado de “más”.

Mantenga a TI cerca

La tecnología de información (TI) ha surgido como una actividad del negocio aparte, con un departamento propio en la mayoría de las compañías, y distanciándose de las actividades de negocio que soportan. Este problema hace más difícil la unión de BCM corporativo y la recuperación ante desastres. Este asunto es principalmente un tema cultural, en otras palabras, las personas somos el problema, no la tecnología. Todos deben conocer cuál es su función en el BCM corporativo y como pueden contribuir efectivamente para su éxito. El asegurase de que el área de TI y el negocio se comprenden mutuamente es parte del trabajo del administrador del BCM, apoyado por la alta gerencia.

Conclusión

Recuerde que los desastres raramente ocurren, pero que aun los pequeños incidentes pueden interrumpir las actividades y servicios de una organización por un periodo prolongado y estos son más frecuentes.

La continuidad del negocio debe ser entendida como una herramienta de gestión indispensable para mantener los servicios en funcionamiento. BCM debe ser conocida como una estrategia de la compañía, con sus directrices claramente definidas y ser del conocimiento de todos.

Realice una evaluación sólida de los riesgos actuales que suceden día a día, observando la cantidad e intensidad de los incidentes y de sus consecuencias. Esta información puede justificar la inversión requerida en un programa de BCM. Piense en ello.

Alexandre Costa Guindani, CBCP,  es responsable de continuidad de negocios en CAIXA, el banco público mas grande en Brasil.  Recientemente publicó un libro acerca de BCM en portugués y puede ser contactado en alexandre.guindani@caixa.gov.br.

DRI Participates in the Central Bank of the Philippines Business Continuity Awareness Week

Jerome P. Ryan

As vice-chairman of the board of DRI International , I had the great honor of being invited to be the keynote speaker at the Central Bank of the Philippines (BSP) Business Continuity Awareness Week. This was a wonderful opportunity for DRI International, as DRI continues to extend its international outreach and participate even more closely with government regulatory bodies.

I can’t say enough about how impressed I was with both the Central Bank’s hospitality and the maturity of its program. Antonio Grageda, CBCP, is the director and head of the bank’s crisis management office, which is responsible for the BCM program. He has been working hard over the past several years to ensure that the Central Bank has one of the best BCM programs in Asia. It is clear that he has had success in integrating BCM into the everyday activities of the Central Bank, and his office demonstrates this through frequent drills and exercises. Once a year, he and his team, most of whom are also DRI-certified professionals, showcase their achievements and plans for further maturity during the Business Continuity Awareness Week (BCAW).

Screen shot 2014-07-07 at 10.47.30 AMBCM at a Central Bank

We all know how important BCM is; but BCM takes on a special level of importance when it is applied to a nation’s central bank. The resiliency of a central bank to continue to maintain its role as being the banker, financial advisor, and official depository of the government is critical, especially in times of disruption. As many of us know, the Philippines has its share of disruptions from earthquakes, to typhoons, to flooding, and more. Without a central bank’s financial super- vision, management of exchange rates, currency issues, and liquidity management, central banks’ would not be able to promote and maintain price stability and provide proactive leadership in bringing about a strong financial system conducive to balanced and sustainable economic growth.

Simply put, there is far more at stake for BCM planning at a central bank than at most other companies and organizations. Quite literally, the stability of the country depends upon the ability of the central bank to continue operations. We need look no further than the recent events across Europe and most recently in Cyprus to understand what can happen when crisis interrupts a country’s ability to provide strong financial leadership and liquidity.

The Journey Begins

The activities began with a ribbon cutting ceremony in the main lobby of the Central Bank. I had the privilege in joining Deputy Governor by cutting the ceremonial ribbon, thereby officially beginning the BCAW activities. Grageda then provided a walking tour of the exhibit hall to me, the Deputy Governor and other Bank executives and dignitaries. The first stop included in the exhibit showcased a thoughtful message by Al Berman, DRI International president, conveying his acknowledgement of the bank’s program, activities, and commitment to BCM.

In his message to the Central Bank, Berman explained that, “The Central Bank of the Philippines has clearly stated that the overall goal of its business continuity plan must be to (1) ensure that there will be minimal disruption of bank operations (2) to minimize financial losses through lost business opportunities or asset deterioration, and (3) to ensure a timely resumption of normal operations.”

Other stops along the exhibit hall included pictorial representations of the accomplishments in the Central Bank’s BCM program over the past year.

Beginning this year, the Central Bank will transition its program to align more closely with the new ISO 22301 standard. This is a large project, but will certainly pay off in the future.

“We intend to align our BCM practices (now based on BS25999) in accordance with ISO 22301,” said Gregada. “For this, we are now reviewing our existing policies, procedures, guidelines, and processes to ensure that we adhere to its requirements. We also intend to strengthen our BCM governance structure by having a more concrete definition of management responsibilities and oversight functions such as, but not limited to, sponsorship of regular business impact analysis, risk assessments, and BCM strategies implementation.”

All in all, Grageda successfully delivered a BCM prepared- ness message, which we all know can be a bit complex and at times boring for those not in the industry, to the highest level of the Central Bank’s management.

Screen shot 2014-07-07 at 10.48.58 AM

Next Stop, Superb Speeches

After the tour of the exhibit hall, we moved on to the conference room for formal activities. Approximately 70 of the Central Bank’s most senior employees attended this half day event. Amando M. Tetangco, Jr., governor of the Central Bank, joined us and delivered a speech about how important BCM is to the bank and to the Philippines, confirming his commitment to supporting the program.

He emphasized that all employees should be aware of BCM principles as well as their practical applications in the workplace. “Business continuity is at the core of corporate governance and keeping a BCM mindset among BSPers is a patriotic duty. We continue to develop the habit of incorporating BCM in our operations. It should be second nature for us at the BSP to embed BCMS in our processes.”

“The BSP is mandated to provide price stability to the economy through monetary and banking policies. Stability is our mantra, thus, we should do our best to prevent disruptions in our operations,” Tetangco said. “BSP places great importance on BCM. For this reason, the BSP has organized business continuity management teams and key personnel to work in alternate sites to continue mission- critical and time-sensitive operations in case of disruptions. BSP management has adapted BCM concepts and strategies since 2003 and has approved BCM initiatives through the years such as the approval of the bank-wide business continuity plan, and has continuously invested in time and resources for the implementation of its BCM program.”

He added that “resiliency is not just having an alternate site or back-up system, but more about having concerted effort and shared responsibilities among all members of the organization. Business continuity is everyone’s responsibility.”

Armando L. Suratos, a member of the Monetary Board of the Central Bank, also spoke about BCM and affirmed his commitment to its implementation at the Central Bank. I had the opportunity to sit with Tetango and Suratos to exchange thoughts on BCM and benefits of well- defined programs. It was certainly exciting to be sitting with the top level of management and to truly appreciate their commitment and participation in the BCM program.

My Turn to Talk!

I was then introduced to deliver the keynote address. In my speech, I talked about DRI International’s involvement worldwide in standardizing and professionalizing BCM. I also spoke about lessons I have learned in my career both running a large international program and as a consultant to numerous clients across nearly all industries. At the conclusion of my speech, the floor was opened for questions. I was expecting there to be very few questions, but I was proven wrong. This group of senior officials took the opportunity to ask a variety of questions the both related to their own program and that of their wider responsibilities in ensuring access to cash and liquidity to the entire country. Here’s how some of those questions were asked and answered:

What are the common challenges you face in imple- menting BCM in your organization?

Senior management buy-in – when this is accomplished members of the organization, from the top down, show more commitment to building and maintaining a robust BCM program.

How do you secure executive buy-in given that imple- menting BCM program is a challenge?

Senior management buy-in can be obtained through showing value in the BCM program by highlighting the local and international regulations that either directly or indirectly effect the organization, illustrating examples of company failures for not having BCM, describing the BCM program and maturity, and highlighting if your organization is ahead or behind the curve. Finally, senior management will want to see how the organization will be in a stronger position by having implemented BCM.

How frequent should the BCM program be audited?

The general rule of thumb is once a year, but this is really a decision that needs to fit the organization. An audit does not need to take the form a very intensive audit – that can be completed on about a three-year rotation. But every year, the BCM program should undergo a self-audit or a light internal audit. Again, this is supplemented by the larger full audit that should occur about every three years at a minimum.

Screen shot 2014-07-07 at 10.54.21 AM

At the End of the Day

As a former head of BCM at a Fortune 40 company, I understand how hard we professionals work to involve senior management. To be sure, we often accomplish the task of having a C-suite level official endorsing our program or formalize it in a policy statement. But, when was the last time your company CEO, CFO, etc… sat down with you and your staff to both celebrate your program’s accomplishments and discuss improvements of the future? This is what I think sets the Central Bank of the Philippines apart from many other companies and organizations – true senior management support.

In closing, I would like to thank everyone at the Central Bank for their hospitality and congratulate them on a job well done in preparing the Central Bank of the Philippines BCM program.

Jerome P. Ryan, CBCP, is vice-chairman of the board of DRI International and CEO of GRM Solutions. Ryan has more than 14 years of experience as a business continuity professional in a variety of industries including financial services, healthcare, and manufacturing.

Prior to joining GRM Solutions, Ryan was the global head of business continuity management at Pfizer. He has also worked at Marsh & McLennan in its risk consulting practice and at PricewaterhouseCoopers in its global risk management solutions (GRMS) consulting practice.

He has a Bachelor of Science degree with concentrations in finance, management information systems, and marketing from Syracuse University. He is currently pursuing his Masters of Business Administration (MBA) degree at Syracuse University’s Whitman School of Management. Jerome is a Certified Business Continuity Professional (CBCP). In addition to serving on DRI International’s board, Jerome is a trustee and budget director for the not-for-profit organization Friends of Leadership in New York City.