Ing. Carlos E. Castillo Galindo Superintendencia de Bancos de Guatemala

Transcripción

1 Ing. Carlos E. Castillo Galindo Superintendencia de Bancos de Guatemala

2 AGENDA Administración de la Continuidad del Negocio (BCM) Análisis de Impacto al Negocio (BIA) Recomendaciones Herramientas y plantillas Normativa aplicable en Guatemala

3 AGENDA Administración de la Continuidad del Negocio (BCM) BCM Análisis de Impacto al Negocio (BIA) Recomendaciones Herramientas y plantillas Normativa aplicable en Guatemala

4 Admón. de la Continuidad del Negocio BCM Definición del Enfoque Implementación del Enfoque Supervisión Administración Alcance Resilencia Roles y Responsabilidades Evaluación de Riesgos BIA, BCP Pruebas/Mejoras Normativa Revisiones Estándares

5 Admón. de la Continuidad del Negocio BCM Definición del Enfoque Implementación del Enfoque Supervisión Administración Alcance Resilencia Roles y Responsabilidades Evaluación de Riesgos BIA, BCP Pruebas/Mejoras Normativa Revisiones Estándares

6 Admón. de la Continuidad del Negocio Implementación del Enfoque Identifica amenazas potenciales y analiza qué podría suceder si la amenaza se materializa.. Roles y Responsabilidades Evaluación de Riesgos BIA BCP Pruebas/Mejoras Predice impacto financiero/operacional de la interrupción en los procesos del negocio. Es base para el desarrollo de las estrategias de continuidad..

7 Proceso de Evaluación de Riesgos Amenazas Probabilidad+ Magnitud RIESGO INHERENTE Activos en riesgo Vulnerabilidades RIESGOS NATURALES: Meteorológicos, geológicos. biológicos, HUMANOS: Accidentales, intencionales. TECNOLÓGICOS: Infraestructura, sistemas de información, proveedores, ataques cibernéticos. Personas. Información. Operaciones del negocio. Reputación. Obligaciones regulatorias. Propiedades. Pérdidas humanas. Pérdida de clientes. Pérdidas financieras. Pérdida de información. Pérdida de confianza. Interrupción del negocio. Efecto sistémico. Penalizaciones regulatorias. Demandas. Daños en la propiedad.

8 Proceso de Evaluación de Riesgos Amenazas Probabilidad+ Magnitud RIESGO INHERENTE Activos en riesgo Vulnerabilidades RIESGOS NATURALES: Meteorológicos, geológicos. biológicos, HUMANOS: Accidentales, intencionales. TECNOLÓGICOS: Infraestructura, sistemas de información, proveedores, ataques cibernéticos. Personas. Información. Operaciones del negocio. Reputación. Obligaciones regulatorias. Propiedades. Pérdidas humanas. Pérdida de clientes. Pérdidas financieras. Pérdida de información. Pérdida de confianza. Interrupción del negocio. Efecto sistémico. Penalizaciones regulatorias. Demandas. Daños en la propiedad.

9 Proceso de Evaluación de Riesgos Amenazas Probabilidad+ Magnitud RIESGO INHERENTE Activos en riesgo Vulnerabilidades RIESGOS ANÁLISIS Impacto financiero/operacional Criticidad por proceso, servicio y recurso. Dependencias internas y externas. Tiempo máximo de espera. Punto objetivo de recuperación. Personal crítico. Resilencia.

10 Diagrama del proceso de Análisis de Impacto al Negocio Amenazas Probabilidad+ Magnitud RIESGO INHERENTE Activos en riesgo Vulnerabilidades RIESGOS ANÁLISIS Impacto financiero/operacional Criticidad por proceso, servicio y recurso. Dependencias internas y externas. Tiempo máximo de espera. Punto objetivo de recuperación. Personal crítico. Resilencia BIA

11 Recomendaciones ASPECTOS ESENCIALES Apoyo del Consejo de Administración y alta dirección Seriedad en el proceso Fácil de entender, simple de aplicar Flexible, dinámico, transversal PUNTOS DE ATENCIÓN Interrupción de aplicaciones vs. funciones del negocio Aislamiento de funciones/aplicaciones Atención inadecuada al impacto financiero Creer que la evaluación de riesgos es el BIA Confundir la tolerancia al riesgo del negocio con el BIA Desvalorización de los resultados del BIA (costos)

12 Herramientas y plantillas Evaluación de amenazas (ejemplo) Fuentes:

13 Herramientas y plantillas Evaluación de amenazas (ejemplo)

14 Herramientas y plantillas Evaluación del Impacto (ejemplo)

15 Herramientas y plantillas BIA (ejemplo)

16 Herramientas y plantillas BIA (ejemplo)

17 Herramientas y plantillas Estructura del Informe (ejemplo) Resumen ejecutivo Alcance y Objetivos Metodología Evaluación del riesgo inherente Evaluación de vulnerabilidades Evaluación del impacto financiero Evaluación del impacto operacional Criticidad de procesos Tiempo máximo de espera Tiempo objetivo de recuperación Punto objetivo de recuperación Personal crítico Registros vitales Recomendaciones Anexos Etc.

18 Normativa aplicable en Guatemala REGLAMENTO PARA LA ADMNISTRACIÓN DEL RIESGO TECNOLÓGICO CAPÍTULO V CONTINUIDAD DE OPERACIONES DE TECNOLOGÍA DE INFORMACIÓN Artículo 20. Plan de continuidad de operaciones de TI. a) Objetivo y alcance del plan; b) Identificación de los procesos críticos de las principales líneas de negocio; c) Identificación de los procesos críticos de TI necesarios para soportar los procesos identificados en el inciso b) anterior; d) Procedimientos y canales de comunicación; e) Procedimientos de recuperación y restauración de operaciones; f) Identificación y descripción de roles y responsabilidades; g) Recursos necesarios para la recuperación; h) Convenios con terceros; e, i) Identificación de factores de dependencia interna y externa Artículo 21. Pruebas al plan de continuidad de operaciones de TI. Artículo 22. Capacitación del personal clave para la continuidad de operaciones de TI. Artículo 23. Centro de cómputo alterno.

19 Plan de Continuidad de TI (DRP) Plan de Continuidad del Negocio (BCP) Análisis de Impacto al Negocio (BIA) Análisis de amenazas/riesgos Implementación del Enfoque

20 Ing. Carlos E. Castillo Galindo Octubre 2013