Gestión de Continuidad de Negocio Banco de la República

Transcripción

1 Gestión de Continuidad de Negocio Banco de la República Departamento de Gestión de Riesgos y Procesos Subgerencia de Gestión de Riesgo Operativo 2014 Unidad de Soporte y Continuidad Informática Dirección General de Tecnología

2 Sistema de Gestión de Continuidad de Negocio

3 Sistema de Gestión de Continuidad Marco de Referencia Integración Sistema de Gestión de Continuidad Modelo Medición Procesos

4 Marco De Referencia Objetivo General Fortalecer la capacidad del Banco para cumplir las funciones legalmente a su cargo ante situaciones que amenacen la continuidad de las mismas o que puedan impactar a sus empleados, sus bienes, su reputación o la estabilidad del sector financiero Objetivos Específicos Contar con planes de continuidad de acuerdo con riesgos potenciales que puedan ocasionar interrupción en la operación del Banco. Proveer las herramientas necesarias a las áreas del Banco para que desarrollen los planes de continuidad que permitan el continuo funcionamiento de sus procesos. Comprobar de forma periódica y sistemática, que los recursos contingentes estén disponibles. Desarrollar en el Banco una cultura de Gestión de Continuidad mediante la comunicación, sensibilización y capacitación de los colaboradores en los respectivos planes. Realizar un mejoramiento continuo del SGC mediante el registro y seguimiento de acciones preventivas, correctivas y de mejora. Fomentar la resiliencia del sector financiero a partir del establecimiento de estrategias de continuidad de forma coordinada entre el Banco y las diferentes entidades, y la verificación periódica de las mismas.

5 Reportar Normalidad Modelo de Gestión de Continuidad GESTIÓN PREVIA GESTIÓN POSTERIOR PROCESOS MISIONALES SITUACIONES DE CRISIS EVENTO DE RIESGO Análisis de Riesgo (ARO) Análisis de Impacto (BIA) Análisis de Riesgo (ARO) Nivel de Actividad normal Identificar Riesgos Potenciales Impacto, RPO, RTO Recursos Mínimos Riesgos Potenciales Establecer Continuidad Operativa (BCP) Recuperación Tecnológica (DRP) PLANES Integrar Gestión de Crisis (IMP) Prevención y Atención de Emergencias (ERP) Establecer Responder Reanudar Recuperar Activar PLANES ERP BCP IMP DRP Retornar Realizar Realizar Mantenimiento y Pruebas INDICADORES LECCIONES APRENDIDAS MEJORA CONTINUA

6 Procesos El Banco trabaja con los lineamientos de la ISO para Sistemas de Gestión de Continuidad de Negocio

7 Plan de Continuidad Operativo Planes desarrollados bajo metodología alineada con ISO BIA (Recursos Mínimos, RTO s y RPO s), Análisis de Riesgos, Estrategias Operativas, Administración de Crisis, Mecanismos de Comunicación, Divulgación y Capacitación, Cronogramas de Pruebas ~ 100 Estrategias Operativas 2013: 292 (89%) / 2014: 366 (48%) Centros Alternos de Operación: Bogotá: 65 Estaciones CdE BLAA+ 5 Centro de Soporte Barranquilla: 25 Estaciones 100 Sistema de Prevención y Atención de Emergencias 1 simulacro de evacuación por edificación/año 42

8 Medición: Indicadores de Gestión Cobertura de Planes de Continuidad Cobertura de escenarios Resultados pruebas internas Herramientas SGC Encuesta Servicios Recursos Contingentes Cultura de Gestión Mejora Continuidad Resiliencia del Sector Financiero Recursos disponibles Impacto por no disponibilidad de recursos Capacitaciones Liderazgo Registro y seguimiento a Acciones Correctivas, Preventivas y de Mejora Resultados pruebas con el sector

9 Medición: Modelo de Madurez* Liderazgo Compromiso de la Dirección DRP BCP ERP IMP Contenido del Programa Conciencia de los Empleados Conocimiento Competencias Integración con el Sector y Estado Coordinación Externa Estructura Alcance Marco Referencia Disponibilidad Recursos Penetración Integración en la cultura Métricas Monitoreo *BCMM: Business Continuity Maturity Model. Virtual Corp v2.0

10 Integración Interna Entre Planes Operativos Áreas de Negocio (BCP) Entre Planes de IT (DRP) y Operativos (BCP) Entre Planes de IT (DRP) y Operativos (BCP) + Planes de atención de emergencias (ERP) + Planes de Gestión de Crisis (IMP) Externa Sector Financiero: Comité de Continuidad Asobancaria Comité Gestión de Crisis Mercado de Valores Gobierno Integración con SFC/MHCP/Presidencia Mesa Infraestructuras Críticas (Comando Conjunto Cibernético) Organismos Gubernamentales para Gestión de Riesgos y Atención de Emergencias: FOPAE, Bomberos, Policía, Of. Gestión de Riesgos Actividades: Planes de Gestión de Crisis, Pruebas Sectoriales

11 Continuidad Informática

12 Procesos Dirección General de Tecnología

13 Requerimientos de Negocio Procesos priorizados (BIA) Horarios críticos de los servicios RTO s y RPO s

14 BR Fibra Oscura Pq. Stder 1GB BR Fibra Oscura Pq. Stder 1GB BR Fibra Oscura Pq. Stder 1GB Nodos Tecnológicos MUSEO DEL ORO BARRANQUILLA INTERNET ETB Radio 1,5 MB Tercer Nodo Tecnológico (Ultima Instancia) ANEXO A INTERNET Canal Replicación B/QUILLA Canal Replicación INTERNET AVIANCA Canal Red Nacional PRINCIPAL BOGOTÁ BR - Fibra Oscura Calle GB Fibra 1GB BLAA Alterno (Central de Efectivo) Principal (Centro) M. CULTURAL IMPRENTA BILLETES

15 Nodos Tecnológicos Características\Nodo Principal Alterno (CdE) Servicios Tiempo de conmutación 2 horas 1:40 horas Procedimientos durante activación Procedimientos durante el retorno 36 13

16 Plataforma Tecnológica Plataformas: Windows, Solaris, Linux, AS/400 Servidores\Nodo Principal Alterno (CdE) Físicos Virtuales 250

17 Estrategias Tecnológicas Servicio App Server RTO DB RTO CUD Activo-Activo 0 Activo-Pasivo (Cluster) 20 DCV Activo-Pasivo 15 Activo-Pasivo (Cluster) 10 Subastas Activo-Pasivo 10 Activo-Pasivo (Cluster) 10 Cedec Activo-Pasivo 15 Activo-Pasivo (Cluster) 20 Cenit Activo-Pasivo 15 Activo-Pasivo (Cluster) 20 SEN Activo-Pasivo 45 N/A* - WSEBRA Activo-Activo 0 N/A - Htrans Activo-Pasivo 10 Activo-Pasivo (Cluster) 20 SUCED Activo-Pasivo 10 Activo-Pasivo (Cluster) 20 S3 Activo-Activo 0 Activo-Pasivo (Cluster) 20 PKI Activo-Activo 0 Activo-Pasivo (Cluster) 20 Antares Activo-Pasivo 10 Activo-Pasivo (Cluster) 10

18 Pruebas de Continuidad Tecnológicas 4 pruebas por nodo programadas al año 2 pruebas programadas de TNT Procedimientos tecnológicos probados periódicamente Seguimiento a hallazgos Pruebas en horario hábil Recurso humano/prueba : 2 Ing. DBA, 1 Ing. Soporte, 1 Ing. Telecomunicaciones, 1 Ing. Seguridad, 1 Ing. Continuidad, 2 Técnicos de Centro de Cómputo

19 Sistema de Monitoreo Monitoreo de la experiencia del usuario final Recursos avanzados de aislamiento de problemas Dashboard basado en el usuario y en el rol el cual muestra el funcionamiento y el estado de los componentes de TI así como sus dependencias Modelamiento de servicios críticos que incluye los componentes que lo conforman (incluyendo contingencias), relaciones con otros servicios, dependencias, agregaciones, etc. Análisis de impacto en el servicio que permite establecer una correlación entre eventos

20 Inconvenientes Comunes en Clientes Fallas de comunicación debido a problemas con canales Canal principal y respaldo con el mismo proveedor Uso incorrecto de los canales de comunicación Los dos canales: SEN y Aplicaciones SEBRA deben ser independientes Listas de contactos desactualizadas Reporte de Incidentes Técnicos Abrir caso en línea de soporte

21 PREGUNTAS GRACIAS