Post on 29-Jul-2022
Continuidad de Negocio 2021Dirección de riesgos
Estrategia
PCN Base
Consolida todos losescenarios de fallapara loscomponentes demanera trasversal ysu estrategia derecuperación.
PCN Específico
IQ ha planteado su estrategia de continuidad, partiendo de componentes Generales hasta llegar a losParticulares.
BIA
Estrategia derecuperaciónespecifica porproceso
▪ Análisis y valoración decriticidad del proceso.
• Priorización deprocesos y actividadesen eventos continuidady contingencia
Componentes clave
Los riesgos identificados están inmersos en 7 componentes claves para el planteamiento en escenarios defalla a nivel transversal en la compañía
BCP
Fallas de Clientes y/o proveedores
Sub-Sistemas Eléctricos y AA
Sub-Sistemas de
Comunicaciones
Servidores, Servicios y
Recursos de Centro de Computo
No disponibilidad
del sitio de trabajo
No disponibilidad de Centro de
computo
Recurso humano
Centro Alterno Operativo
IQ OUTSOURCING
Centro de Procesos
Calle 28 Nº 13 - 22
Variante Cota – Chía
500 mts. de la glorieta
Centro Comercial MERIDIANO
Recorrido Centro Alterno Operativo
1 Recorrido IQ – Cota
Calle 26 – Carrera 30 – AutopistaNorte – Calle 170 – La Conejera.
Tiempo 1 Hrs. 10 Min. 06 Seg.Distancia 26,7 Kms.
2 Recorrido IQ – Cota
Calle 26 – Carrera 30 – Av. Suba
Tiempo: 1 Hrs. 32 Min. 05 Seg.Distancia: 27,7 km
3 Recorrido IQ – Cota
Carretera 21
Tiempo: 1 Hrs. 20 Min. Distancia:31,8
Centro Alterno Operativo
En caso de desastre IQ ha diseñado e implementado paraBogotá un sitio alterno que permite operar encontingencia
Teniendo un 70% de recepción de Canje en Bogotá, IQ hacreado su propio Centro alterno operativo como estrategiade continuidad ubicado en Cota
Todo proceso realizado en un escenario de contingenciaes susceptible a cambios en los ADS acordados entre laspartes
Centro Alterno Operativo
Proceso de Canje en esquema de replicación, permitiendo tener una resiliencia de bajo impacto con tiemposde reproceso de 15 minutos para Datos e imágenes, en escenarios de falla en data center principal Bogotá.
ReplicaciónBogotá / Medellín
Data Center Medellín
Data center Bogotá
• Estándar Internacional TIA 942
• Equipos de PotenciaRedundantes
• Enlaces WAN Dedicados MPLS
• Enlace de Replicación EVPLLAN to LAN
• Almacenamiento Hitachi HA
• Infraestructura de ServidoresCluster
• Sistemas de VirtualizaciónVmware – Hyper V
Estrategias de recuperación
La evolución de PCN en IQ permite establecer los RTO de forma clara a partir del análisis realizado endiversos escenarios y presentar las estrategias de recuperación de acuerdo a la interacción decomponentes TI y recursos Operativos
Motivo Tiempo
DRP 4 a 12 horas
RTO
Fallo en servidores físicos 1 a 4 horas
Restricción de acceso a plantas de recepción
Servicios de transmisión 15 a 30 minutos
Servicios en esquema de replicación
Enlaces de Comunicaciones Administrados por IQ y equipos de potencia
1 a 5 minutos
Elementos que tengan componentes redundantes y/o servicios implementados en ambiente Cluster
0 minutos
Datos e imágenes 15 minutos RPO
Mejora continua
• Periódicamente desde la Coordinaciónde Riesgos Tecnológicos define losplanes de capacitación y el cronogramade pruebas, con el fin de realizar unasensibilización de la importancia decontinuidad del negocio, y con laspruebas realizamos entrenamientocontinuo del procedimientos y planesde contingencia definidos pararesponder a eventos que afecten elcurso normal de los procesos yservicios.
• Del resultado de las pruebas y loseventos de contingencia se realiza unanálisis de los mismos para establecerplanes de acción correctivos quegeneran actualización del plan.
Gestión de diagnósitico y diseño
▪ Analisis de riesgo de disponibilidad
▪ Analisis de impacto
Gestión de implementación y
ejecución
▪ Definición de estratégias de contingencia y continuidad
▪ Implementar el plan de contingencia
Gestión de monitoreo y
medición
▪ Planeación, ejecución y análisis de resultados de pruebas controladas
▪ Seguimiento de los procesos
▪ Respuesta y manejo de eventos críticos
Gestión de mejoramiento
continuo
▪ Capacitación▪ Mantenimiento
del plan de contingencia
Escenarios de aplicabilidad
No disponibilidad de acceso a planta de procesamiento por:
▪ Incendio en el sector y/o instalaciones iQ.
▪ Asonadas en el sector o vías de acceso a instalaciones de iQ
▪ Inundación del sector y/o instalaciones iQ
▪ Sismos o terremotos (Siempre y cuando el Data Center principal este en totalfuncionalidad)
▪ Fuga de gas en el sector y/o instalaciones iQ.
Nota: Escenarios de activación solo siempre y cuando el incidente presentadotarde mas de 4 Horas en solucionarse.
Estrategia de Continuidad de negocio
▪ Apoyo en procesos afectados desde las regionales en la actividad de digitación(Principalmente Regional Medellín).
▪ CAO Cota equipos en capacidad de digitalizar documentos del proceso decanje.
Estratégia de cercanías
iQ ha basado su estrategia por cercaníasrealizando un análisis de las distancias que tienenlas sedes entre si en cuanto a trayecto (KM) derecorrido VS tiempo de recorrido.
Una vez verificado el kilometraje y el tiempo enrecorrido a emplearse en el desplazamiento deuna regional a otra, se establece cuales son lassedes en las que la contingencia es aplicable encaso de escenario de falla real y ejercicioscontrolados.
Políticas y Manuales SGSI y Ciberseguridad
“Las Políticas definidas y Manualesde Seguridad son herramientasclaves en la implementación decontroles de Seguridad sobre laInformación en IQ”
12
• Políticas de Acceso a Información e Internet• Políticas de Cumplimiento Legal, Regulatorio y
Contractual• Políticas de Protección de Tratamiento de Datos
Personales• Políticas de Control de Accesos a la Información• Políticas de Uso de Dispositivos Móviles y/o
Personales• Políticas de Seguridad en los Sistemas de
Información• Políticas de Ciberseguridad• Políticas de Auditabilidad, Gestión de Eventos e
Incidentes• Políticas de Gestión de Activos de Información• Políticas de Protección de la Información por parte
de Terceros• Políticas de Creación de Cultura en Seguridad de la
Información y Ciberseguridad• Políticas de Seguridad Física
Gestión de eventos e incidentes
1
Detección incidentes
2
Comunicación
3
Reporte y análisis
4
Cierre incidente
IQ establece las actividades para brindar a la organización fortalezas y capacidades ante una evento oincidente que pueda poner en riesgo el desarrollo de sus procesos
Gracias