Departamento de Gestión de Riesgos y
Procesos
Subgerencia de Gestión de Riesgo
Operativo
Gestión de Continuidad de Negocio Banco de la República
Unidad de Soporte y Continuidad Informática
Dirección General de Tecnología
2014
Sistema de Gestión de Continuidad de Negocio
Sistema de Gestión de
Continuidad
Modelo
Procesos
Integración
Medición
Marco de Referencia
Sistema de Gestión de Continuidad
Objetivo General
• Contar con planes de continuidad de acuerdo con riesgos potenciales que puedan ocasionar interrupción en la operación del Banco.
• Proveer las herramientas necesarias a las áreas del Banco para que desarrollen los planes de continuidad que permitan el continuo funcionamiento de sus procesos.
• Comprobar de forma periódica y sistemática, que los recursos contingentes estén disponibles.
• Desarrollar en el Banco una cultura de Gestión de Continuidad mediante la comunicación, sensibilización y capacitación de los colaboradores en los respectivos planes.
• Realizar un mejoramiento continuo del SGC mediante el registro y seguimiento de acciones preventivas, correctivas y de mejora.
• Fomentar la resiliencia del sector financiero a partir del establecimiento de estrategias de continuidad de forma coordinada entre el Banco y las diferentes entidades, y la verificación periódica de las mismas.
Objetivos Específicos
Fortalecer la capacidad del Banco para cumplir las funciones legalmente a su cargo ante situaciones que amenacen la continuidad de las mismas o que puedan impactar a sus empleados, sus bienes, su reputación o la estabilidad del sector financiero
Marco De Referencia
PLANES
Identificar
Establecer
PROCESOS MISIONALES
Realizar
Análisis de Riesgo (ARO)
Análisis de Impacto
(BIA)
Riesgos Potenciales
Mantenimiento y Pruebas
MEJORA CONTINUA
GESTIÓN PREVIA
INDICADORES
Continuidad Operativa
(BCP)
Prevención y Atención de Emergencias
(ERP)
Gestión de Crisis (IMP)
Impacto, RPO, RTO Recursos Mínimos
Recuperación Tecnológica
(DRP)
GESTIÓN POSTERIOR
EVENTO DE RIESGO
Nivel de Actividad normal
LECCIONES APRENDIDAS
Activar PLANES
Reanudar
Recuperar
Responder
Retornar
No
rmal
idad
BCP
ERP
IMP
DRP
R
ep
ort
ar
Integrar
SITUACIONES DE CRISIS
Establecer
Análisis de Riesgo (ARO)
Riesgos Potenciales
Realizar
Modelo de Gestión de Continuidad
Procesos
El Banco trabaja con los lineamientos de la ISO 22301 para Sistemas de Gestión de Continuidad de Negocio
• Planes desarrollados bajo metodología alineada con ISO 22301
– BIA (Recursos Mínimos, RTO’s y RPO’s), Análisis de Riesgos, Estrategias Operativas, Administración de Crisis, Mecanismos de Comunicación, Divulgación y Capacitación, Cronogramas de Pruebas
• ~ 100 Estrategias Operativas 2013: 292 (89%) / 2014: 366 (48%)
• Centros Alternos de Operación:
– Bogotá: 65 Estaciones CdE 200 + 5 BLAA+ 5 Centro de Soporte
– Barranquilla: 25 Estaciones 100
• Sistema de Prevención y Atención de Emergencias
– 1 simulacro de evacuación por edificación/año 42
Plan de Continuidad Operativo
• Cobertura de escenarios
• Resultados pruebas internas
Cobertura de Planes de Continuidad
• Encuesta Servicios Herramientas SGC
• Recursos disponibles
• Impacto por no disponibilidad de recursos
Recursos Contingentes
• Capacitaciones
• Liderazgo Cultura de Gestión
• Registro y seguimiento a Acciones Correctivas, Preventivas y de Mejora
Mejora Continuidad
• Resultados pruebas con el sector Resiliencia del
Sector Financiero
Medición: Indicadores de Gestión
Compromiso de la Dirección
Conocimiento Competencias
Alcance Marco Referencia
Integración en la cultura
Disponibilidad
Liderazgo
Conciencia de los Empleados
Estructura
Penetración
Métricas
Recursos
Coordinación Externa
Contenido del Programa
DRP BCP ERP IMP
Integración con el Sector y Estado
Monitoreo
Medición: Modelo de Madurez*
*BCMM: Business Continuity Maturity Model. Virtual Corp v2.0
• Entre Planes Operativos – Áreas de Negocio (BCP)
• Entre Planes de IT (DRP) y Operativos (BCP)
• Entre Planes de IT (DRP) y Operativos (BCP) + Planes de atención de emergencias (ERP) + Planes de Gestión de Crisis (IMP)
Interna
• Sector Financiero:
• Comité de Continuidad Asobancaria
• Comité Gestión de Crisis Mercado de Valores
• Gobierno
• Integración con SFC/MHCP/Presidencia
• Mesa Infraestructuras Críticas (Comando Conjunto Cibernético)
• Organismos Gubernamentales para Gestión de Riesgos y Atención de Emergencias: FOPAE, Bomberos, Policía, Of. Gestión de Riesgos
• Actividades: Planes de Gestión de Crisis, Pruebas Sectoriales
Externa
Integración
Continuidad Informática
Procesos Dirección General de Tecnología
• Procesos priorizados (BIA)
• Horarios críticos de los servicios
• RTO’s y RPO’s
Requerimientos de Negocio
IMPRENTA BILLETES
BR - Fibra Oscura – Calle 19 10 GB
Canal Replicación
Canal Red Nacional
INTERNET ETB – Radio 1,5 MB
B/QUILLA INTERNET
Canal Replicación
BARRANQUILLA
INTERNET
PRINCIPAL
MUSEO DEL ORO
ANEXO A
AVIANCA
BLAA
M. CULTURAL
BR
– F
ibra O
scura
Pq. S
td
er –
1G
B
BR
– F
ibra O
scura
Pq. S
td
er –
1G
B
BR
– F
ibra O
scura
Pq. S
td
er –
1G
B
Fibra 1GB
Nodos Tecnológicos
BOGOTÁ
Tercer Nodo Tecnológico
(Ultima Instancia)
Alterno (Central de Efectivo)
Principal (Centro)
Características\Nodo Principal Alterno (CdE)
Servicios 63 53
Tiempo de conmutación 2 horas 1:40 horas
Procedimientos durante activación
27 11
Procedimientos durante el retorno
36 13
Nodos Tecnológicos
Servidores\Nodo Principal Alterno (CdE)
Físicos 160 50
Virtuales 250
Plataformas: Windows, Solaris, Linux, AS/400
Plataforma Tecnológica
Servicio App Server RTO DB RTO
CUD Activo-Activo 0 Activo-Pasivo (Cluster) 20
DCV Activo-Pasivo 15 Activo-Pasivo (Cluster) 10
Subastas Activo-Pasivo 10 Activo-Pasivo (Cluster) 10
Cedec Activo-Pasivo 15 Activo-Pasivo (Cluster) 20
Cenit Activo-Pasivo 15 Activo-Pasivo (Cluster) 20
SEN Activo-Pasivo 45 N/A* -
WSEBRA Activo-Activo 0 N/A -
Htrans Activo-Pasivo 10 Activo-Pasivo (Cluster) 20
SUCED Activo-Pasivo 10 Activo-Pasivo (Cluster) 20
S3 Activo-Activo 0 Activo-Pasivo (Cluster) 20
PKI Activo-Activo 0 Activo-Pasivo (Cluster) 20
Antares Activo-Pasivo 10 Activo-Pasivo (Cluster) 10
Estrategias Tecnológicas
• 4 pruebas por nodo programadas al año
• 2 pruebas programadas de TNT
• Procedimientos tecnológicos probados periódicamente
• Seguimiento a hallazgos
• Pruebas en horario hábil
• Recurso humano/prueba : 2 Ing. DBA, 1 Ing. Soporte, 1 Ing. Telecomunicaciones, 1 Ing. Seguridad, 1 Ing. Continuidad, 2 Técnicos de Centro de Cómputo
Pruebas de Continuidad Tecnológicas
• Monitoreo de la experiencia del usuario final
• Recursos avanzados de aislamiento de problemas
• Dashboard basado en el usuario y en el rol el cual muestra el funcionamiento y el estado de los componentes de TI así como sus dependencias
• Modelamiento de servicios críticos que incluye los componentes que lo conforman (incluyendo contingencias), relaciones con otros servicios, dependencias, agregaciones, etc.
• Análisis de impacto en el servicio que permite establecer una correlación entre eventos
Sistema de Monitoreo
• Fallas de comunicación debido a problemas con canales
Canal principal y respaldo con el mismo proveedor
• Uso incorrecto de los canales de comunicación
Los dos canales: SEN y Aplicaciones SEBRA deben ser independientes
• Listas de contactos desactualizadas
• Reporte de Incidentes Técnicos
Abrir caso en línea de soporte
Inconvenientes Comunes en Clientes
PREGUNTAS
GRACIAS
Top Related