Gestión de continuidad de negocios Febrero 2013
Gestin de continuidad de negocios Febrero 2013
Visin
Evolucin Visin de estratgica
Objetivos
Principales definiciones Poltica del SGCN
Gobierno corporativo
Anlisis de Impacto en el negocio (BIA)
Prevencin, Contencin, recuperacin
Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad Estrategias
BSI, KPMG, Comit de vigilancia
Alta Administracin (Comit de gestin) y Partcipes
Auditorias y revisiones especficas
Programa 2011 y 2012
Cumplimiento de las pruebas y ejercicios
Programa de pruebas y ejercicios
Programa de capacitacin
2
3
Gestin de Continuidad de Negocios. Visin de continuidad
La Continuidad Operacional es un eje Estratgico para el desarrollo de la compaa.
El DCV se ha planteado como meta ser el ltimo componente del sistema financiero en dejar de operar y el primero en recuperarse, cualquiera sea el incidente o catstrofe.
Proteger la vida e integridad fsica de los Colaboradores de la empresa y de las personas que se
encuentran presente en nuestras dependencias al momento de la ocurrencia de un evento adverso.
Visin
Pro
bab
ilid
ad
Impacto
Gestin de Riesgo Operacional Sistema de Gestin de Continuidad de Negocios
Riesgo poco probables con impacto alto Riesgos Probables Impacto normal
SGCN
BCP
DRP-CMP
4
Gestin de Continuidad de Negocios. Evolucin del DCV y la GCN
Inicio de esfuerzos hacia la continuidad operacional
Pruebas de procedimientos de contingencia
Plan de Contingencia para
todos los recursos y prestaciones crticas
Plan Y2K
Nueva metodologa
Plan de Continuidad de Negocios (BCP).
Se crea la funcin.
Reformulacin hacia un SGCN
Se incorpora DRP+CMP
Actualizacin y Mantencin
del BCP
Creacin del DCV
Creacin DCV Registros
Se publica Norma BS 25999
Se trasladan los Sitios de Produccin a TIER III.
Custodia y Registro de
transacciones IRF
Custodia y Registro de
transacciones IIF
Custodia y Registro de
transacciones IRV
Cmara de Compensacin
Intrada
DVP, Operaciones FLI
Desmaterializacin
Evolucin DCV
Evolucin GCN
Separacin de oficinas en dos edificios.
Plan de trabajo en funcin de la norma BS25999
Forward Sitio en EEUU
Euroclear
Mila
SADE Web
Acuerdo con DTCC
Certificado de posicin electrnico
ACSDA Leadership Forum (ALF)
Visin
Evolucin Visin de estratgica
Objetivos
Principales definiciones Poltica del SGCN
Gobierno corporativo
Anlisis de Impacto en el negocio (BIA)
Prevencin, Contencin, recuperacin
Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad Estrategias
BSI, KPMG, Comit de vigilancia
Alta Administracin (Comit de gestin) y Partcipes
Auditorias y revisiones especficas
Programa 2011 y 2012
Cumplimiento de las pruebas y ejercicios
Programa de pruebas y ejercicios
Programa de capacitacin
5
6
Gestin de Continuidad de Negocios. Poltica del SGCN
Estructurar un marco formal de trabajo con el fin de garantizar la disponibilidad de los procesos crticos y el cumplimiento de las regulaciones gubernamentales y contractuales que norman los servicios otorgados por el DCV.
Entregar directrices de los principales roles y responsabilidades, de la gestin de continuidad de negocios.
Entregar los lineamientos necesarios para la aplicacin del programa y la gestin de continuidad de negocios, en funcin de asegurar la recuperacin de los servicios crticos del DCV, resguardando la proteccin y seguridad de las personas, activos y procesos crticos de negocios.
Objetivos
7
Gestin de Continuidad de Negocios. Poltica del SGCN
El DCV deber resguardar la seguridad e integridad de todas las personas que se encuentren en las dependencias del DCV, as tambin de aquellos colaboradores internos que, estando fuera de las dependencias de la empresa, se encuentren prestndole servicios.
La gestin de continuidad de negocios se debe alinear a las directrices y exigencias propias del cumplimiento de las normativas vigentes, y bajo el marco gua del estndar BS 25999.
Las materias de continuidad deben ser divulgadas e incorporadas dentro de la cultura del DCV, con el objetivo de mantener al personal informado y capacitado.
Se deber contar con un Programa Anual de Continuidad de Negocio el cual establezca actividades de planeacin, implementacin, revisin y actualizacin de los anlisis de impacto en el negocio, planes y procedimientos, ejecucin de pruebas y otras materias relacionadas.
Principales definiciones
Visin
Evolucin Visin de estratgica
Objetivos
Principales definiciones Poltica del SGCN
Gobierno corporativo
Anlisis de Impacto en el negocio (BIA)
Prevencin, Contencin, recuperacin
Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad Estrategias
BSI, KPMG, Comit de vigilancia
Alta Administracin (Comit de gestin) y Partcipes
Auditorias y revisiones especficas
Programa 2011 y 2012
Cumplimiento de las pruebas y ejercicios
Programa de pruebas y ejercicios
Programa de capacitacin
8
9
Gestin de Continuidad de Negocios. Gobierno corporativo
Directorio
Recuperacin ante Desastres y
Manejo de Crisis
Comit TI Comit Auditora y
Riesgo
Gestin de Riesgo
Seguridad de Informacin
Riesgo Operacional
Continuidad de Negocios
Plan de Continuidad Operacional
Dueos de Procesos Comits de Emergencia
Vocero Comit de Manejo de Crisis
(CMC)
Comit de Recuperacin de Instalaciones (CRI)
Comit de Apoyo Personal (CAP)
Comit de Recuperacin TICs (CRT)
Comit de Comunicacin Estndar (CCE)
Estructura organizacional y funcional
Visin
Evolucin Visin de estratgica
Objetivos
Principales definiciones Poltica del SGCN
Gobierno corporativo
Anlisis de Impacto en el negocio (BIA)
Prevencin, Contencin, recuperacin
Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad Estrategias
BSI, KPMG, Comit de vigilancia
Alta Administracin (Comit de gestin) y Partcipes
Auditorias y revisiones especficas
Programa 2011 y 2012
Cumplimiento de las pruebas y ejercicios
Programa de pruebas y ejercicios
Programa de capacitacin
10
11
Gestin de Continuidad de Negocios. Anlisis de impacto en el negocio (BIA)
BIA Identificacin de componentes (Criticidad, Clasificacin: edificaciones, RRHH, TI)
Identificacin de procesos crticos de negocio. (Prioridad, tiempos objetivos, frecuencias, dependencia de componentes).
Identificacin de amenazas. (Clasificacin: naturales, de RRHH, TICs, etc)
Identificacin de escenarios que impactan al negocio, como peligro a la integridad de los colaboradores, a la continuidad de los procesos crticos y cumplimientos normativos.
Proceso SubprocesoRTO
(horas)Dueo del Subproceso 0 -15 minutos 15 - 30 minutos 30 - 60 minutos 60 - 90 minutos 90 - 120 minutos 2 - 4 horas 4 - 24 horas Mayor a 24 horas
Medio
Medio
Frente a cualquier incidente
o contingencia la accin a
seguir es noti ficar a la MAU
Ins igni ficante
Frente a cualquier incidente
o contingencia la accin a
seguir es noti ficar a la MAU
Ins igni ficante Medio Alto
La MAU reporta el evento de interrupcin a l gestor de incidentes , quien va l ida y evala s i corresponde a un IOC, en ta l caso, noti fica a l CMC y otras partes
interesadas y activa el Plan de Accin respectivo.
La MAU reporta el evento de interrupcin a l gestor de incidentes , quien va l ida y evala s i corresponde a un IOC, en ta l caso, noti fica a l CMC y otras partes
interesadas y activa el Plan de Accin respectivo.
Frente a cualquier incidente o contingencia la
accin a seguir es noti ficar a la MAU
La MAU reporta el evento de interrupcin a l gestor de incidentes , quien va l ida y evala s i corresponde a un IOC, en ta l caso, noti fica
a l CMC y otras partes interesadas y activa el Plan de Accin respectivo.
TransferenciaTransferencias ente
Depos itante2 Mirna Fernndez Alto Muy Al to
Tesorera Internacional Compra 2 Mirna Fernndez
Alto Muy Al to
TransferenciaTraspaso entre Cuentas
de depos itante2 Mirna Fernndez
Alto Muy Al to
Custodia Colocacin de CFM 2 a l 8 2 Mirna Fernndez
Muy Al to
Imagen Financiero Normativo Impacto Inherente
Registro Central de Emisiones Inscripcin y Registro Valores 3,2 3,2 3,2 alto
Administracin de RRHH Desvinculacin 2,4 2,4 2,4 moderado
Control de Ingresos y pagos Cobro y Administracin de Ingresos 2,8 2,8 2,8 alto
Custodia Depsito desmaterial con archivos 4 4 4 extremo
Conciliacin y Rendicin a Emisores Rendicin de Dividendo 3,2 3,2 3,2 alto
Nivel de criticidad de componentesProceso Sub-Proceso
Actividades en funcin del tiempo
Resumen del BIA
Visin
Evolucin Visin de estratgica
Objetivos
Principales definiciones Poltica del SGCN
Gobierno corporativo
Anlisis de Impacto en el negocio (BIA)
Prevencin, Contencin, recuperacin
Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad Estrategias
BSI, KPMG, Comit de vigilancia
Alta Administracin (Comit de gestin) y Partcipes
Auditorias y revisiones especficas
Programa 2011 y 2012
Cumplimiento de las pruebas y ejercicios
Programa de pruebas y ejercicios
Programa de capacitacin
12
13
Gestin de Continuidad de Negocios. Estrategias
La compaa define factores tanto del mbito externo, relacionados con proveedores y servicios bsicos, como para los recursos internos de edificaciones, infraestructura TI y personas, que puedan afectar los servicios crticos.
Estrategia de prevencin
(probabilidad)
Gestin de riesgo
Gestin de capacidad
Gestin de incidentes
Gestin de problemas
Sistema de gestin de continuidad de negocios
Estrategia de contencin (impacto)
Personas. Proteger las habilidades y conocimientos.
Beneficios, Sucesin ejecutivos, duplicidad de Funciones claves.
Instalaciones. Reducir el impacto de no disponibilidad.
Sitio administrativo alternativo, grupo electrgeno, teletrabajo.
Tecnologa. Salvaguardar o restablecer la infraestructura TI.
Redundancia tecnolgica, respaldos de informacin, registros vitales.
Proveedores. Inventario de proveedores que apoyan las actividades.
Identificacin de proveedores crticos, clusulas en los contratos.
Estrategia de recuperacin
(acciones)
Procedimientos de continuidad
Plan de Recuperacin ante Desastres
Plan de Manejo de Crisis
14
Gestin de Continuidad de Negocios. Estrategias
Punto objetivo de recuperacin (RPO) para los servicios crticos es de treinta segundos. Tiempo Objetivo de Recuperacin (RTO) para los servicios crticos del DCV es de dos horas. Mximo Perodo de Interrupcin Tolerable (MTPD) tiende a ser de veinticuatro horas.
El DCV se ha planteado como meta ser el ltimo componente del sistema financiero en dejar de operar y el primero en recuperarse, cualquiera sea el incidente o catstrofe.
Tiempos objetivos del negocio
15
Gestin de Continuidad de Negocios. Estrategias
Prod. 1 Prod. 2
Componentes duplicados
TI
Sitios
RRHH
Pro
ced
imie
nto
s d
el P
lan
de
co
nti
nu
idad
Respaldo oficinas administrativas. Edificios (Burgos-Hurfanos).
Toda funcin crtica debe estar duplicada. Respaldo de RRHH.
Distribucin de sitios de produccin hacia housing categora TIER III.
Todo componente crtico debe estar duplicado.
Aspectos Operacionales
Aspectos Tecnolgicos
Las prestaciones ofrecidas por el DCV a sus usuarios no se conciben sin la disponibilidad de los sistemas computacionales construidos para ello. Dado el volumen y riesgo involucrado. Burgos Hurfanos
Oficinas
Medidas de continuidad
Visin
Evolucin Visin de estratgica
Objetivos
Principales definiciones Poltica del SGCN
Gobierno corporativo
Anlisis de Impacto en el negocio (BIA)
Prevencin, Contencin, recuperacin
Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad Estrategias
BSI, KPMG, Comit de vigilancia
Alta Administracin (Comit de gestin) y Partcipes
Auditorias y revisiones especficas
Programa 2011 y 2012
Cumplimiento de las pruebas y ejercicios
Programa de pruebas y ejercicios
Programa de capacitacin
16
17
Gestin de Continuidad de Negocios. Auditorias y revisiones
Auditorias externas
Auditoria BSI
Fecha de ejecucin jul 2012
Objetivo: Revisin de Planeacin y diseo
Fecha de ejecucin: oct 2012.
Objetivo: Implementacin eficacia y eficiencia del SGCN.
Auditora KPMG
Fecha de ejecucin: nov. 2012 y nov. 2013
Objetivo: Implementacin eficacia y eficiencia del SGCN.
Auditoria Comit de Vigilancia
Fecha de ejecucin: sep. 2013
Objetivo: Implementacin eficacia y eficiencia del SGCN.
Revisiones especficas
Alta Administracin
Fecha de ejecucin ago. y dic. 2013.
Objetivo: Revisin de los principales hitos del SGCN.
Partcipes
Fecha de ejecucin: durante el ao
Objetivo: cumplimiento de la norma 2020.
JUL OCT NOV
Auditoria BSI
Auditoria BSI
2012 DIC ENE
Revisin BSI
Auditoria Interna KPMG
Auditoria Interna Comit
de Vigilancia
2013 AGO
Revisin del Comit de
Gestin
Revisin del Comit de
Gestin
Cada uno de los entregables y el plan de accin del DCV, es informacin con clasificacin interna.
Lnea de tiempo de auditorias y revisiones
17
Visin
Evolucin Visin de estratgica
Objetivos
Principales definiciones Poltica del SGCN
Gobierno corporativo
Anlisis de Impacto en el negocio (BIA)
Prevencin, Contencin, recuperacin
Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad Estrategias
BSI, KPMG, Comit de vigilancia
Alta Administracin (Comit de gestin) y Partcipes
Auditorias y revisiones especficas
Programa 2011 y 2012
Cumplimiento de las pruebas y ejercicios
Programa de pruebas y ejercicios
Programa de capacitacin
18
19
Gestin de Continuidad de Negocios. Programa de pruebas 2011
66%
55%
46%
36%
7%
7%
15%
28%
29%
100%
93%
85%
68%
53%
46%
35%
22%
15%
7%
100%
0% 20% 40% 60% 80% 100%
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Dic
Cumplimiento Real Programa Presupuestado
Desviaciones del programa.
Cumplimiento del Programa Presupuestado v/s Real
Uso de Oficinas alternativas. Prueba complementaria debido a
remodelacin.
Respaldo de Energa elctrica. Prueba complementaria debido a
remodelacin
Alternancia de Sitios de Produccin.
Plan de Recuperacin ante Desastres y Manejo de Crisis.
Plan de evacuacin Burgos.
Controles ambientales y de prevencin.
Operaciones de Clientes en Dependencia DCV
Pruebas significativas realizadas.
Evolucin del Cumplimiento del Programa
Se presenta la evolucin del cumplimiento del programa de pruebas del Plan de Continuidad de Negocios del ao 2011, junto a las pruebas mas significativas y las desviaciones.
Cumplimiento a dic 2011
7%
7%
15%
28%
93%
93%
85%
72%
71%
64%
54%
45%
34%
29%
36%
46%
55%
66%
100%
0% 20% 40% 60% 80% 100%
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Dic
Cubierto No Cubierto
Nuevo programa de pruebas 2012
En busca del mejoramiento continuo del SGCN y sobre la base de las recomendaciones de la norma se reformula el
programa de prueba hacia un programa de ejercicios.
Se considera para este ao 2012; la Alternancia de los Sitios de Produccin, los ejercicios de evacuacin y una
prueba que active distintas respuestas de forma independiente (DRP+CMP).
20
Gestin de Continuidad de Negocios. Resultados de los ejercicios
Alternancia de Sitios de Produccin. Los objetivos, resultados y desviaciones estn clasificados como informacin de uso interno
Ejercicios 2012
Evacuacin de Dependencias DRP+CMP
Visin
Evolucin Visin de estratgica
Objetivos
Principales definiciones Poltica del SGCN
Gobierno corporativo
Anlisis de Impacto en el negocio (BIA)
Prevencin, Contencin, recuperacin
Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad Estrategias
BSI, KPMG, Comit de vigilancia
Alta Administracin (Comit de gestin) y Partcipes
Auditorias y revisiones especficas
Programa 2011 y 2012
Cumplimiento de las pruebas y ejercicios
Programa de pruebas y ejercicios
Programa de capacitacin
21
22
Gestin de Continuidad de Negocios. Programa de entrenamiento
Entrevistas individuales
Encuesta de estilo de preferencias
Relevar el nivel de desarrollo de las competencias globales
Sensibilizacin BS25999
100%
Comit de emergencias
90%
Personal crtico
80%
Lderes de piso
Comprensin Alineamiento
Capacitacin y sensibilizacin BS25999
Conocimientos Pruebas de
conocimientos
Entrenamiento
Liderazgo de emergencias
Psicoprevencin Tcnicas seguridad
del trabajo
15% del personal
a
a
a
a
Cumplimiento del programa
18% del personal 9% del personal
Mayo
Mayo
Mayo
Sep - Nov a
Cursos
Gestin de continuidad de negocios Febrero 2013
Gestin de Continuidad de Negocios. Control de cambio documental
24
Bitcora de Mantencin Versin Anterior
Fecha de Actual.
Motivo Descripcin del Cambio Realizado por
N/A 11-feb-2013
Creacin de documento
Documento nace como objetivo de presentar los principales hitos del SGCN
Andr Medel
1 14-feb-2013
Revisin y aprobacin
Se revisa y corrigen temas menores. Se enva para publicacin en el portal web
Claudio Herrera y Andr Medel
c-info-0134-gfp-rop-20130214-01