Departamento de Gestión de Riesgos y

Procesos

Subgerencia de Gestión de Riesgo

Operativo

Gestión de Continuidad de Negocio Banco de la República

Unidad de Soporte y Continuidad Informática

Dirección General de Tecnología

2014

Sistema de Gestión de Continuidad de Negocio

Sistema de Gestión de

Continuidad

Modelo

Procesos

Integración

Medición

Marco de Referencia

Sistema de Gestión de Continuidad

Objetivo General

• Contar con planes de continuidad de acuerdo con riesgos potenciales que puedan ocasionar interrupción en la operación del Banco.

• Proveer las herramientas necesarias a las áreas del Banco para que desarrollen los planes de continuidad que permitan el continuo funcionamiento de sus procesos.

• Comprobar de forma periódica y sistemática, que los recursos contingentes estén disponibles.

• Desarrollar en el Banco una cultura de Gestión de Continuidad mediante la comunicación, sensibilización y capacitación de los colaboradores en los respectivos planes.

• Realizar un mejoramiento continuo del SGC mediante el registro y seguimiento de acciones preventivas, correctivas y de mejora.

• Fomentar la resiliencia del sector financiero a partir del establecimiento de estrategias de continuidad de forma coordinada entre el Banco y las diferentes entidades, y la verificación periódica de las mismas.

Objetivos Específicos

Fortalecer la capacidad del Banco para cumplir las funciones legalmente a su cargo ante situaciones que amenacen la continuidad de las mismas o que puedan impactar a sus empleados, sus bienes, su reputación o la estabilidad del sector financiero

Marco De Referencia

PLANES

Identificar

Establecer

PROCESOS MISIONALES

Realizar

Análisis de Riesgo (ARO)

Análisis de Impacto

(BIA)

Riesgos Potenciales

Mantenimiento y Pruebas

MEJORA CONTINUA

GESTIÓN PREVIA

INDICADORES

Continuidad Operativa

(BCP)

Prevención y Atención de Emergencias

(ERP)

Gestión de Crisis (IMP)

Impacto, RPO, RTO Recursos Mínimos

Recuperación Tecnológica

(DRP)

GESTIÓN POSTERIOR

EVENTO DE RIESGO

Nivel de Actividad normal

LECCIONES APRENDIDAS

Activar PLANES

Reanudar

Recuperar

Responder

Retornar

No

rmal

idad

BCP

ERP

IMP

DRP

R

ep

ort

ar

Integrar

SITUACIONES DE CRISIS

Establecer

Análisis de Riesgo (ARO)

Riesgos Potenciales

Realizar

Modelo de Gestión de Continuidad

Procesos

El Banco trabaja con los lineamientos de la ISO 22301 para Sistemas de Gestión de Continuidad de Negocio

• Planes desarrollados bajo metodología alineada con ISO 22301

– BIA (Recursos Mínimos, RTO’s y RPO’s), Análisis de Riesgos, Estrategias Operativas, Administración de Crisis, Mecanismos de Comunicación, Divulgación y Capacitación, Cronogramas de Pruebas

• ~ 100 Estrategias Operativas 2013: 292 (89%) / 2014: 366 (48%)

• Centros Alternos de Operación:

– Bogotá: 65 Estaciones CdE 200 + 5 BLAA+ 5 Centro de Soporte

– Barranquilla: 25 Estaciones 100

• Sistema de Prevención y Atención de Emergencias

– 1 simulacro de evacuación por edificación/año 42

Plan de Continuidad Operativo

• Cobertura de escenarios

• Resultados pruebas internas

Cobertura de Planes de Continuidad

• Encuesta Servicios Herramientas SGC

• Recursos disponibles

• Impacto por no disponibilidad de recursos

Recursos Contingentes

• Capacitaciones

• Liderazgo Cultura de Gestión

• Registro y seguimiento a Acciones Correctivas, Preventivas y de Mejora

Mejora Continuidad

• Resultados pruebas con el sector Resiliencia del

Sector Financiero

Medición: Indicadores de Gestión

Compromiso de la Dirección

Conocimiento Competencias

Alcance Marco Referencia

Integración en la cultura

Disponibilidad

Liderazgo

Conciencia de los Empleados

Estructura

Penetración

Métricas

Recursos

Coordinación Externa

Contenido del Programa

DRP BCP ERP IMP

Integración con el Sector y Estado

Monitoreo

Medición: Modelo de Madurez*

*BCMM: Business Continuity Maturity Model. Virtual Corp v2.0

• Entre Planes Operativos – Áreas de Negocio (BCP)

• Entre Planes de IT (DRP) y Operativos (BCP)

• Entre Planes de IT (DRP) y Operativos (BCP) + Planes de atención de emergencias (ERP) + Planes de Gestión de Crisis (IMP)

Interna

• Sector Financiero:

• Comité de Continuidad Asobancaria

• Comité Gestión de Crisis Mercado de Valores

• Gobierno

• Integración con SFC/MHCP/Presidencia

• Mesa Infraestructuras Críticas (Comando Conjunto Cibernético)

• Organismos Gubernamentales para Gestión de Riesgos y Atención de Emergencias: FOPAE, Bomberos, Policía, Of. Gestión de Riesgos

• Actividades: Planes de Gestión de Crisis, Pruebas Sectoriales

Externa

Integración

Continuidad Informática

Procesos Dirección General de Tecnología

• Procesos priorizados (BIA)

• Horarios críticos de los servicios

• RTO’s y RPO’s

Requerimientos de Negocio

IMPRENTA BILLETES

BR - Fibra Oscura – Calle 19 10 GB

Canal Replicación

Canal Red Nacional

INTERNET ETB – Radio 1,5 MB

B/QUILLA INTERNET

Canal Replicación

BARRANQUILLA

INTERNET

PRINCIPAL

MUSEO DEL ORO

ANEXO A

AVIANCA

BLAA

M. CULTURAL

BR

– F

ibra O

scura

Pq. S

td

er –

1G

B

BR

– F

ibra O

scura

Pq. S

td

er –

1G

B

BR

– F

ibra O

scura

Pq. S

td

er –

1G

B

Fibra 1GB

Nodos Tecnológicos

BOGOTÁ

Tercer Nodo Tecnológico

(Ultima Instancia)

Alterno (Central de Efectivo)

Principal (Centro)

Características\Nodo Principal Alterno (CdE)

Servicios 63 53

Tiempo de conmutación 2 horas 1:40 horas

Procedimientos durante activación

27 11

Procedimientos durante el retorno

36 13

Nodos Tecnológicos

Servidores\Nodo Principal Alterno (CdE)

Físicos 160 50

Virtuales 250

Plataformas: Windows, Solaris, Linux, AS/400

Plataforma Tecnológica

Servicio App Server RTO DB RTO

CUD Activo-Activo 0 Activo-Pasivo (Cluster) 20

DCV Activo-Pasivo 15 Activo-Pasivo (Cluster) 10

Subastas Activo-Pasivo 10 Activo-Pasivo (Cluster) 10

Cedec Activo-Pasivo 15 Activo-Pasivo (Cluster) 20

Cenit Activo-Pasivo 15 Activo-Pasivo (Cluster) 20

SEN Activo-Pasivo 45 N/A* -

WSEBRA Activo-Activo 0 N/A -

Htrans Activo-Pasivo 10 Activo-Pasivo (Cluster) 20

SUCED Activo-Pasivo 10 Activo-Pasivo (Cluster) 20

S3 Activo-Activo 0 Activo-Pasivo (Cluster) 20

PKI Activo-Activo 0 Activo-Pasivo (Cluster) 20

Antares Activo-Pasivo 10 Activo-Pasivo (Cluster) 10

Estrategias Tecnológicas

• 4 pruebas por nodo programadas al año

• 2 pruebas programadas de TNT

• Procedimientos tecnológicos probados periódicamente

• Seguimiento a hallazgos

• Pruebas en horario hábil

• Recurso humano/prueba : 2 Ing. DBA, 1 Ing. Soporte, 1 Ing. Telecomunicaciones, 1 Ing. Seguridad, 1 Ing. Continuidad, 2 Técnicos de Centro de Cómputo

Pruebas de Continuidad Tecnológicas

• Monitoreo de la experiencia del usuario final

• Recursos avanzados de aislamiento de problemas

• Dashboard basado en el usuario y en el rol el cual muestra el funcionamiento y el estado de los componentes de TI así como sus dependencias

• Modelamiento de servicios críticos que incluye los componentes que lo conforman (incluyendo contingencias), relaciones con otros servicios, dependencias, agregaciones, etc.

• Análisis de impacto en el servicio que permite establecer una correlación entre eventos

Sistema de Monitoreo

• Fallas de comunicación debido a problemas con canales

Canal principal y respaldo con el mismo proveedor

• Uso incorrecto de los canales de comunicación

Los dos canales: SEN y Aplicaciones SEBRA deben ser independientes

• Listas de contactos desactualizadas

• Reporte de Incidentes Técnicos

Abrir caso en línea de soporte

Inconvenientes Comunes en Clientes

PREGUNTAS

GRACIAS