Gestión de continuidad de negocios. Febrero 2013

Transcripción

1 Gestión de continuidad de negocios Febrero 2013

2 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA) Estrategias Auditorias y revisiones específicas Programa de pruebas y ejercicios Prevención, Contención, recuperación Tiempos objetivos del negocio (RPO, RTO, MTPD) Medidas de continuidad BSI, KPMG, Comité de vigilancia Alta Administración (Comité de gestión) y Partícipes Programa 2011 y 2012 Cumplimiento de las pruebas y ejercicios Programa de capacitación 2

3 Probabilidad Gestión de Continuidad de Negocios. Visión de continuidad Visión La Continuidad Operacional es un eje Estratégico para el desarrollo de la compañía. El DCV se ha planteado como meta ser el último componente del sistema financiero en dejar de operar y el primero en recuperarse, cualquiera sea el incidente o catástrofe. Proteger la vida e integridad física de los Colaboradores de la empresa y de las personas que se encuentran presente en nuestras dependencias al momento de la ocurrencia de un evento adverso. Gestión de Riesgo Operacional Sistema de Gestión de Continuidad de Negocios SGCN BCP DRP- CMP Riesgos Probables Impacto normal Riesgo poco probables con impacto alto Impacto 3

4 Gestión de Continuidad de Negocios. Evolución del DCV y la GCN Evolución DCV Evolución GCN Creación DCV Registros Desmaterialización DVP, Operaciones FLI Custodia y Registro de transacciones IRF Creación del DCV Custodia y Registro de transacciones IRV Custodia y Registro de transacciones IIF Pruebas de procedimientos de contingencia Inicio de esfuerzos hacia la continuidad operacional Plan de Contingencia para todos los recursos y prestaciones críticas Plan Y2K Nueva metodología Plan de Continuidad de Negocios (BCP). Se crea la función. Actualización y Mantención del BCP Se publica Norma BS Cámara de Compensación Intradía Reformulación hacia un SGCN Se trasladan los Sitios de Producción a TIER III. Separación de oficinas en dos edificios. Se incorpora DRP+CMP Sitio en EEUU Plan de trabajo en función de la norma BS25999 ACSDA Leadership Forum (ALF) SADE Web Acuerdo con DTCC Euroclear Forward Mila Certificado de posición electrónico 4

5 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA) Estrategias Auditorias y revisiones específicas Programa de pruebas y ejercicios Prevención, Contención, recuperación Tiempos objetivos del negocio (RPO, RTO, MTPD) Medidas de continuidad BSI, KPMG, Comité de vigilancia Alta Administración (Comité de gestión) y Partícipes Programa 2011 y 2012 Cumplimiento de las pruebas y ejercicios Programa de capacitación 5

6 Gestión de Continuidad de Negocios. Política del SGCN Objetivos Estructurar un marco formal de trabajo con el fin de garantizar la disponibilidad de los procesos críticos y el cumplimiento de las regulaciones gubernamentales y contractuales que norman los servicios otorgados por el DCV. Entregar directrices de los principales roles y responsabilidades, de la gestión de continuidad de negocios. Entregar los lineamientos necesarios para la aplicación del programa y la gestión de continuidad de negocios, en función de asegurar la recuperación de los servicios críticos del DCV, resguardando la protección y seguridad de las personas, activos y procesos críticos de negocios. 6

7 Gestión de Continuidad de Negocios. Política del SGCN Principales definiciones El DCV deberá resguardar la seguridad e integridad de todas las personas que se encuentren en las dependencias del DCV, así también de aquellos colaboradores internos que, estando fuera de las dependencias de la empresa, se encuentren prestándole servicios. La gestión de continuidad de negocios se debe alinear a las directrices y exigencias propias del cumplimiento de las normativas vigentes, y bajo el marco guía del estándar BS Las materias de continuidad deben ser divulgadas e incorporadas dentro de la cultura del DCV, con el objetivo de mantener al personal informado y capacitado. Se deberá contar con un Programa Anual de Continuidad de Negocio el cual establezca actividades de planeación, implementación, revisión y actualización de los análisis de impacto en el negocio, planes y procedimientos, ejecución de pruebas y otras materias relacionadas. 7

8 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA) Estrategias Auditorias y revisiones específicas Programa de pruebas y ejercicios Prevención, Contención, recuperación Tiempos objetivos del negocio (RPO, RTO, MTPD) Medidas de continuidad BSI, KPMG, Comité de vigilancia Alta Administración (Comité de gestión) y Partícipes Programa 2011 y 2012 Cumplimiento de las pruebas y ejercicios Programa de capacitación 8

9 Gestión de Continuidad de Negocios. Gobierno corporativo Directorio Gestión de Riesgo Comité TI Comité Auditoría y Riesgo Seguridad de Información Riesgo Operacional Continuidad de Negocios Estructura organizacional y funcional Plan de Continuidad Operacional Dueños de Procesos Recuperación ante Desastres y Manejo de Crisis Comités de Emergencia Vocero Comité de Manejo de Crisis (CMC) Comité de Recuperación de Instalaciones (CRI) Comité de Apoyo Personal (CAP) Comité de Recuperación TICs (CRT) Comité de Comunicación Estándar (CCE) 9

10 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA) Estrategias Auditorias y revisiones específicas Programa de pruebas y ejercicios Prevención, Contención, recuperación Tiempos objetivos del negocio (RPO, RTO, MTPD) Medidas de continuidad BSI, KPMG, Comité de vigilancia Alta Administración (Comité de gestión) y Partícipes Programa 2011 y 2012 Cumplimiento de las pruebas y ejercicios Programa de capacitación 10

11 Gestión de Continuidad de Negocios. Análisis de impacto en el negocio (BIA) Resumen del BIA Identificación de procesos críticos de negocio. (Prioridad, tiempos objetivos, frecuencias, dependencia de componentes). Identificación de componentes (Criticidad, Clasificación: edificaciones, RRHH, TI) Identificación de escenarios que impactan al negocio, como peligro a la integridad de los colaboradores, a la continuidad de los procesos críticos y cumplimientos normativos. Nivel de criticidad de componentes Proceso Sub-Proceso Imagen Financiero Normativo Impacto Inherente Registro Central de Emisiones Inscripción y Registro Valores 3,2 3,2 3,2 alto Administración de RRHH Desvinculación 2,4 2,4 2,4 moderado Control de Ingresos y pagos Cobro y Administración BIA de Ingresos 2,8 2,8 2,8 alto Custodia Depósito desmaterial con archivos extremo Conciliación y Rendición a Emisores Rendición de Dividendo 3,2 3,2 3,2 alto Identificación de amenazas. (Clasificación: naturales, de RRHH, TICs, etc) Actividades en función del tiempo Proceso Transferencia Transferencia Subproceso Transferencias ente Depositante Traspaso entre Cuentas de depositante RTO (horas) Tesorería Internacional Compra 2 Mirna Fernández Dueño del Subproceso 0-15 minutos minutos minutos minutos minutos 2-4 horas 4-24 horas Mayor a 24 horas 2 Mirna Fernández Medio Alto Muy Alto 2 Mirna Fernández Custodia Colocación de CFM 2 al 8 2 Mirna Fernández Medio Frente a cualquier incidente o contingencia la acción a seguir es notificar a la MAU Insignificante Frente a cualquier incidente o contingencia la acción a seguir es notificar a la MAU La MAU reporta el evento de interrupción al gestor de incidentes, quien valida y evalúa si corresponde a un IOC, en tal caso, notifica al CMC y otras partes interesadas y activa el Plan de Acción respectivo. La MAU reporta el evento de interrupción al gestor de incidentes, quien valida y evalúa si corresponde a un IOC, en tal caso, notifica al CMC y otras partes interesadas y activa el Plan de Acción respectivo. Insignificante Medio Alto Frente a cualquier incidente o contingencia la acción a seguir es notificar a la MAU Alto Alto Muy Alto Muy Alto Muy Alto La MAU reporta el evento de interrupción al gestor de incidentes, quien valida y evalúa si corresponde a un IOC, en tal caso, notifica al CMC y otras partes interesadas y activa el Plan de Acción respectivo. 11

12 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA) Estrategias Auditorias y revisiones específicas Programa de pruebas y ejercicios Prevención, Contención, recuperación Tiempos objetivos del negocio (RPO, RTO, MTPD) Medidas de continuidad BSI, KPMG, Comité de vigilancia Alta Administración (Comité de gestión) y Partícipes Programa 2011 y 2012 Cumplimiento de las pruebas y ejercicios Programa de capacitación 12

13 Gestión de Continuidad de Negocios. Estrategias Estrategia de contención (impacto) Estrategia de recuperación (acciones) Procedimientos de continuidad Plan de Recuperación ante Desastres Plan de Manejo de Crisis La compañía define factores tanto del ámbito externo, relacionados con proveedores y servicios básicos, como para los recursos internos de edificaciones, infraestructura TI y personas, que puedan afectar los servicios críticos. Personas. Proteger las habilidades y conocimientos. Beneficios, Sucesión ejecutivos, duplicidad de Funciones claves. Instalaciones. Reducir el impacto de no disponibilidad. Sitio administrativo alternativo, grupo electrógeno, teletrabajo. Tecnología. Salvaguardar o restablecer la infraestructura TI. Redundancia tecnológica, respaldos de información, registros vitales. Proveedores. Inventario de proveedores que apoyan las actividades. Identificación de proveedores críticos, cláusulas en los contratos. Gestión de riesgo Gestión de capacidad Gestión de incidentes Gestión de problemas Sistema de gestión de continuidad de negocios Estrategia de prevención (probabilidad) 13

14 Gestión de Continuidad de Negocios. Estrategias Tiempos objetivos del negocio El DCV se ha planteado como meta ser el último componente del sistema financiero en dejar de operar y el primero en recuperarse, cualquiera sea el incidente o catástrofe. Punto objetivo de recuperación (RPO) para los servicios críticos es de treinta segundos. Tiempo Objetivo de Recuperación (RTO) para los servicios críticos del DCV es de dos horas. Máximo Período de Interrupción Tolerable (MTPD) tiende a ser de veinticuatro horas. 14

15 Procedimientos del Plan de continuidad Gestión de Continuidad de Negocios. Estrategias Medidas de continuidad Las prestaciones ofrecidas por el DCV a sus usuarios no se conciben sin la disponibilidad de los sistemas computacionales construidos para ello. Dado el volumen y riesgo Componentes duplicados RRHH involucrado. Burgos Huérfanos Oficinas Aspectos Operacionales Respaldo oficinas administrativas. Edificios (Burgos-Huérfanos). Toda función crítica debe estar duplicada. Respaldo de RRHH. Aspectos Tecnológicos Distribución de sitios de producción hacia housing categoría TIER III. Todo componente crítico debe estar duplicado. TI Prod. 1 Prod. 2 Sitios 15

16 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA) Estrategias Auditorias y revisiones específicas Programa de pruebas y ejercicios Prevención, Contención, recuperación Tiempos objetivos del negocio (RPO, RTO, MTPD) Medidas de continuidad BSI, KPMG, Comité de vigilancia Alta Administración (Comité de gestión) y Partícipes Programa 2011 y 2012 Cumplimiento de las pruebas y ejercicios Programa de capacitación 16

17 Gestión de Continuidad de Negocios. Auditorias y revisiones Auditorias externas Auditoria BSI Fecha de ejecución jul 2012 Objetivo: Revisión de Planeación y diseño Fecha de ejecución: oct Objetivo: Implementación eficacia y eficiencia del SGCN. Revisiones específicas Alta Administración Fecha de ejecución ago. y dic Objetivo: Revisión de los principales hitos del SGCN. Cada uno de los entregables y el plan de acción del DCV, es información con clasificación interna. Auditoría KPMG Fecha de ejecución: nov y nov Objetivo: Implementación eficacia y eficiencia del SGCN. Partícipes Fecha de ejecución: durante el año Objetivo: cumplimiento de la norma Auditoria Comité de Vigilancia Fecha de ejecución: sep Objetivo: Implementación eficacia y eficiencia del SGCN. Línea de tiempo de auditorias y revisiones Auditoria BSI Auditoria BSI 2012 JUL AGO OCT NOV DIC 2013 ENE Revisión BSI Revisión del Comité de Gestión Auditoria Interna Comité de Vigilancia Auditoria Interna KPMG Revisión del Comité de Gestión 17 17

18 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA) Estrategias Auditorias y revisiones específicas Programa de pruebas y ejercicios Prevención, Contención, recuperación Tiempos objetivos del negocio (RPO, RTO, MTPD) Medidas de continuidad BSI, KPMG, Comité de vigilancia Alta Administración (Comité de gestión) y Partícipes Programa 2011 y 2012 Cumplimiento de las pruebas y ejercicios Programa de capacitación 18

19 Gestión de Continuidad de Negocios. Programa de pruebas 2011 Se presenta la evolución del cumplimiento del programa de pruebas del Plan de Continuidad de Negocios del año 2011, junto a las pruebas mas significativas y las desviaciones. Cumplimiento del Programa Presupuestado v/s Real Desviaciones del programa. prueba Uso que de Oficinas active distintas alternativas. respuestas Prueba complementaria de forma independiente debido a (DRP+CMP). Alternancia de Sitios de Producción. remodelación. Respaldo de Energía eléctrica. Prueba complementaria debido a remodelación Cumplimiento a dic 2011 Evolución del Cumplimiento del Programa Dic 100% 100% Dic 100% Nov 66% 93% Nov 66% 34% Oct 55% 85% Oct 55% 45% Sep 46% 68% Sep 46% 54% Ago 36% 53% Ago 36% 64% Jul 29% 46% Jul 29% 71% Jun 35% 28% Jun 28% 72% May Abr 7% 22% 15% 15% May Abr 15% 7% 85% 93% 7% Mar 7% Mar 7% Nuevo programa de pruebas % 0% 20% 40% 60% 80% 100% 0% 20% 40% 60% 80% 100% Cumplimiento Real Programa Presupuestado Cubierto No Cubierto En busca del mejoramiento continuo del SGCN y sobre la base de las recomendaciones de la norma se reformula el programa de prueba hacia un programa de ejercicios. Pruebas significativas realizadas. Se considera para este año 2012; la Alternancia de los Sitios de Producción, los ejercicios de evacuación y una Plan de Recuperación ante Desastres y Manejo de Crisis. Plan de evacuación Burgos. Controles ambientales y de prevención. Operaciones de Clientes en Dependencia DCV 19

20 Gestión de Continuidad de Negocios. Resultados de los ejercicios Ejercicios 2012 Alternancia de Sitios de Producción. Evacuación de Dependencias DRP+CMP Los objetivos, resultados y desviaciones están clasificados como información de uso interno 20

21 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA) Estrategias Auditorias y revisiones específicas Programa de pruebas y ejercicios Prevención, Contención, recuperación Tiempos objetivos del negocio (RPO, RTO, MTPD) Medidas de continuidad BSI, KPMG, Comité de vigilancia Alta Administración (Comité de gestión) y Partícipes Programa 2011 y 2012 Cumplimiento de las pruebas y ejercicios Programa de capacitación 21

22 Gestión de Continuidad de Negocios. Programa de entrenamiento Cumplimiento del programa Relevar el nivel de desarrollo de las competencias globales Entrevistas individuales Sensibilización BS25999 Comprensión Cursos Encuesta de estilo de preferencias Alineamiento Mayo Mayo 100% Comité de emergencias 15% del personal a a 90% Personal crítico 80% Líderes de piso 18% del personal 9% del personal Capacitación y sensibilización BS25999 Conocimientos Pruebas de conocimientos Mayo a Entrenamiento Liderazgo de emergencias Psicoprevención Técnicas seguridad del trabajo Sep - Nov a a 22

23 Gestión de continuidad de negocios Febrero 2013

24 Gestión de Continuidad de Negocios. Control de cambio documental Versión Anterior Fecha de Actual. Bitácora de Mantención Motivo Descripción del Cambio Realizado por N/A 11-feb Creación de documento Documento nace como objetivo de presentar los principales hitos del SGCN André Medel 1 14-feb Revisión aprobación y Se revisa y corrigen temas menores. Se envía para publicación en el portal web Claudio Herrera y André Medel 24 c-info-0134-gfp-rop