Peace of Mind

El Riesgo Operacional y su apropiada administración.

Continuidad del Negocio - PCN(Business Continuity Management – BCM)

LA GARANTIA DE UN NEGOCIO CONTINUO

Preparado por: Jorge Hernán Jaramillo Ossa

Pág 2

El interés creciente por el manejo del riesgo operacional

Crisis Financieras

Administración del Riesgo operacional -Continuidad integral

de los negocios

CrisisReputacional“Pérdida de Confianza”

ImpactoEconómico

Impacto en la Infraestructura del

mercado

Impacto en Otros Mercados

Globalización

ImpactoSistémico -Colapso del

Mercado

Pág 3

Quienes tienen un interés principal por esta temática ?

Grupo de los 30

RecomendacionesSobre Administración

Del riesgo Operacional

ISSA

Autoridades locales

Asociaciones De la

Industria

Basilea II

IOSCO-CPSS

Pág 4

Estratégico

Operacional

Procesos deSoporte

InternosEstratégicos

Operacionales

Criterios deaceptación

Probabilidad ocurrencia

Efectos/impacto

Aceptar el riesgo

Controlarlo

Transferirlo

Efectividad

Potencialidad

Control

ExternosPolíticos – RegulatoriosAmbientales/naturales

TecnológicosEconómicos/mercado

El Control y mitigación del riesgo operacional

Identifique los Principales Objetivos,

procesos y recursos de

negocio

Identifiquelos

riesgos

Analice yEvalúe

Los riesgos

Determine, diseñe e implemente Medidas de Mitigación y control

Monitoree

y Revise de manera permanente

Pág 5

El proceso de contingencia de negocios

Identifique los Principales Objetivos,

procesos y recursos de

negocio

Desarrolle un Análisis de Impacto de

negocio

Determine las

estrategias y acciones

de continuidad

Implemente las acciones y medidas

de continuidad

Prueba

y Mantenimiento

del plan

Estratégico

Operacional

Procesos deSoporte

Determinación del MAO y continuidadDe procesos críticos

Sistemas alternos y Redundantes, backup

Y recuperación

Reducir la exposición,Impacto y pérdida deRecursos y procesos

Procesos de backup

Administración De los datos

y registros

Acuerdos con Entidades ExternasManejo continuidad

Sistemático

Robusto yplaneado

Recursos yCompromisoClasifique por

importancia

ImpactoOperacional

ImpactoFinanciero

RiesgosOperacionales

Riesgosfinancieros

Gente, infraestructura,Telecomunicaciones,Sist. De Informaciòn

Pág 6

Tipos de planes involucrados en el BCM

Fuente: National Institute of Standards and Technology (NIST) - USA

Pág 7

PCN – No es un documento, es un proceso de negocio

Planificación de Recuperación de

Instalaciones

Business Continuity

Management

Compromiso de la Alta Gerencia

Planificaciónde la Continuidad

del Negocio

Planificacióndel Sitio Alterno

de Trabajo

Planificaciónde Recursos

Humanos

Planificación de la Recuperaciónde la Tecnología

Planificacióndel Manejo

de Crisis

Respuesta a emergencia y restauración de

instalaciones

Restauración de los Procesos críticos

Reubicación del personal Personal Crítico

Restauración de las Aplicaciones

críticas

Administración y Manejo de Crisis

Fuente: Business Continuity Institute (BCI)

Pág 8

Pilares del PCN - BCM

Compromiso de la alta dirección y del mercado

Gerencia de Riesgos y Administración de incidentes

Desarrollo de la estrategia de negocio y reconocimiento de la importancia del Depósito en los procesos del mercado

Disminución del tiempo de recuperación de los procesos críticos de negocio

Capacitación y entrenamiento para asumir la contingenciaInterna y Externa

Pág 9

Mapa de procesos Críticos

CONTINGENCIA

Solicitud deInformación del

Sistema de Saldoso del Sistema de

Referencias

Cliente

Custodia deValores

Análisis deValores

AdministraciónCustodio

Internacional

Ejercicio de Derechos

Patrimonialesy Sociales

Administraciónde Emisiones

Desmaterializadas

Administraciónde Cuentas

para Admón. Valoresy CYL

OperacionesEntrega contra

Pago

Administraciónde hardwarey software

Mantenimiento yActualización del

Sistema de Saldos

Administraciónde la Base de

Datos

01 A

02 B

04 B

05 B

03 B

06 B

07 B

08 B9 B

10 B

11 B

12 B

Pág 10

CONTINGENCIA

SoporteTécnico Telecomunicaciones

Cierre deOperaciones

Administración de Seguridad

de Riesgo Físico

Gastos

Compras Administración de

Activos, Suministrose Instalaciones

Correspondencia

Nómina

13 B

15 B

14 B

16 B

17 B

18 B19 B

20 B

21 B

Auditoría

22 B

Sistemas de Soporte

Pág 11

Metodología PR4

RR ECUPERACIONECUPERACION

RREANUDACIONEANUDACION

RR ESPUESTAESPUESTA

PPREVENCIONREVENCION

RR ESTAURACIONESTAURACION Reparar/Restaurar facilidades y contenidos“Regreso a casa”

Recuperar Todas las Demás Operaciones

Reanudar las Operaciones Sensibles alTiempo en la Localidad Alterna

Manejo de Crisis Contener el DañoActivar Organización de Recuperación

Protección de los Activos CorporativosManejo de riesgos

PR4

Pág 12

El antes, el durante y el después

Prevención

Respuesta

Restauración

ANTES DURANTE DESPUES

PROCESOS

INSTALACIONES

Reanudación

Vuelta a la Normalidad

Recuperación Decisión

MetodologíaPR4

Pág 13

Sitios de respaldo en caso de contingencia total

Pág 14

➜ Permite que el Depósito pueda funcionar humana y tecnológicamente respondiendo por la operatividad del mercado

➜Cuenta con 43 puestos de trabajo para atender las principales operaciones del negocio y a clientes.

➜10 de los cuales están destinados a nuestros clientes en caso de que ellos no puedan realizar sus operaciones en sus instalaciones.

SEDE ALTERNA OPERATIVA - S.A.O.SEDE ALTERNA OPERATIVA - S.A.O.

Pág 15

DATA CENTER – D.C. DATA CENTER – D.C. •Cuenta con la infraestructura para soportar el equipamiento y aplicaciones críticas del Depósito.

•Permite el enrutamiento de los clientes a un centro que cumpla con los elementos de hardware, software, seguridad y telecomunicaciones, enmarcados dentro de los requerimientos tecnológicos y operativos definidos por Deceval.

•Componentes físicos → Seguridad física.→ Sistema anti-incendio.→ Sistema de climatización de ambiente.→ Energía eléctrica.→ Sala de trabajo.→ Desastre natural.→ Mantenimiento y soporte.

Pág 16

Centros de Contingencia

Pág 17

Otras medidas de protección

• Replicación de datos a centro alterno. • Backup de datos almacenado en custodio y centro alterno. • Sistemas críticos redundantes : comunicaciones, seguridad, certificador

digital • Configuración de todos los sistemas críticos guardados en sitio alterno• Documentos principales del negocio guardado en custodio y en centro

alterno. • Replica de todos los principales documentos del negocio : información

principal de clientes, tarjeta de firmas autorizadas, tarjeta de mensajeros• Especificaciones técnicas de seguridad de hardware y software• Manual del plan de contingencia en el centro alterno. • Lista del recursos humano - Direcciones, teléfonos. • Sistemas críticos de operación en sede alterna operativa.

Pág 18

Matriz de Riesgos: Evaluación del Business Impact Analysis - BIA

ESCENARIO DEFALLA O PÉRDIDA

CAUSAS EFECTOS I P R ACCIÓN CONTROL DE RIESGO

EVALUACIÓN DE RIESGOS

Describa el escenario a

analizarDescriba las

causas que puede generar el

escenario de falla Describa los efectos que

derivan de las causas

Describa la acción inmediata a realizar una

vez se presenta el evento

Describa los tipos de controles que

considera para mitigar dicho riesgo

Califique el impacto, la probabilidad y el riesgo de

ocurrencia según las definiciones previamente

dadas.

EVALUACION DEL Business Impact Analysis - BIA

Pág 19

Matriz de Riesgos EVALUACION DEL BIA

Unidad de negocio: Informática - Hardware Fecha: 26-Dic-05

ESCENARIO DEFALLA O PÉRDIDA

CAUSAS EFECTOSP I R ACCIÓN CONTROL DE RIESGO

1. Servidores - Deceval

Error humanoLabor preventiva

Daño físico en componentes

Medio ambiente no adecuado enel centro de cómputoPicos de potencia

Servidores Producción - DañoServidor SUN Deceval_2

Error humano / Labor preventiva/ Daño Físico en componentes /Medio ambiente no adecuado enel centro de cómputo / Picos depotencia

Los clientes externos e internos que accesan al SIID por este servidor quedan sin servicio del SIID / La base de datos de trabajo de uso interno que utiliza el operador queda fuera de línea.

A M B

Verificar estado de la consola yposibles mensajes de error; si elequipo se encuentra fuera deservicio Trasladar todos los servicios decluster y sistema de informacional Deceval_1, Contactar alproveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.

Monitoreo diario y laborespreventivas / BackupsActualizados

Servidores Producción - DañoServidor SUN Deceval_1 yDeceval_2

Error humano / Labor preventiva/ Daño Físico en componentes /Medio ambiente no adecuado enel centro de cómputo / Picos depotencia

Se dispara la contingencia y la operación del depósito se debe trasladar al SAO y al Datacenter.

A A A

Activar el sitio contingente (Basede Datos y Forte) / Seredireccionan los clientes al sitede contingencia para que seconecten al servidor contingente,Contactar al proveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.

Monitoreo diario y laborespreventivas / BackupsActualizados

Los clientes externos e internos que accesan al SIID por este servidor quedan sin servicio del SIID / El rendimiento del SIID se ve mermado por estar funcionando al 50% de la capacidad

Servidores Producción - Daño Servidor SUN Deceval_1

Verificar estado de la consola yposibles mensajes de error; si elequipo se encuentra fuera deservicio Trasladar todos los servicios decluster y sistema de informacional Deceval_2, Contactar alproveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.

A M M

Monitoreo diario y laborespreventivas / BackupsActualizados

Pág 20

¿Cuál quiere usted que sea su expresión la próxima vez que ocurra un desastre?

Pág 21

¿Cuál quiere usted que sea su expresión la próxima vez que ocurra un desastre?

La organización debe estar preparada en los aspectos más importantes:

TECNOLOGIAORGANICE EL GRUPO HUMANO

CAPACITACION IMPLEMENTE LAS ESTRATEGIASPROBAR – PROBAR Y PROBAR

Pág 22

Pruebas del plan de continuidad

➜ Las pruebas del plan de continuidad de negocios con el fin de validar los cuatro grupos de estrategias definidos:

• Estrategias preventivas• Estrategias de recuperación• Estrategias de restauración• Estrategias de manejo de crisis

➜ En la ejecución de un plan de pruebas principalmente se deberá:

• Probar el plan de evacuación.• Probar los sistemas de alerta.• Probar conectividad y telecomunicaciones.• Probar el desempeño de los equipos de respaldo destinados para

atender la contingencia.• Monitorear el porcentaje de uso de los equipos, dispositivos de red y

canales de comunicación.

Pág 23

Pruebas del plan de continuidad

• Probar la habilidad de acceder a registros y recursos vitales, sistemas o software para el manejo de datos y equipos.

• Probar el desempeño del sistema en ambiente contingente.• Probar los procesos definidos para atender la contingencia.• Validar tiempos de desplazamiento y por actividad.• Probar los tiempos objetivo de recuperación.• Probar los puntos objetivo de recuperación.• Probar el conocimiento del plan de continuidad de los colaboradores.• Probar otros sistemas como servidores remotos accesador por Internet

“LA META DE PROBAR Y EJERCITAR EL PLAN DE CONTINUIDAD DE NEGOCIO NO ES ENCONTRAR SI FUNCIONA, SI NO DEMOSTRAR QUE ESTAMOS PREPARADOS PARA LAS

CONTINGENCIAS TOTALES O PARCIALES.”

RECUERDA QUE EL RECURSO HUMANO ES MUY IMPORTANTE