Peace of Mind

El Riesgo Operacional y su apropiada

administracin.

Continuidad del Negocio - PCN
(Business Continuity Management BCM)

LA GARANTIA DE UN NEGOCIO CONTINUO
Preparado por: Jorge Hernn Jaramillo Ossa

Pg 2
El inters creciente por el
manejo del riesgo operacional
Crisis
Financieras
Administracin del
Riesgo operacional -
Continuidad integral
de los negocios
Crisis
Reputacional
Prdida de
Confianza
Impacto
Econmico
Impacto en la
Infraestructura del
mercado
Impacto en
Otros Mercados
Globalizacin
Impacto
Sistmico -
Colapso del
Mercado
Pg 3
Quienes tienen un inters principal por esta
temtica ?
Grupo de los
30
Recomendaciones
Sobre Administracin
Del riesgo
Operacional
ISSA
Autoridades
locales
Asociaciones
De la
Industria
Basilea II
IOSCO-
CPSS
Pg 4
Estratgico
Operacional
Procesos de
Soporte
Internos
Estratgicos
Operacionales

Criterios de
aceptacin
Probabilidad
ocurrencia
Efectos/
impacto
Aceptar el
riesgo
Controlarlo
Transferirlo
Efectividad
Potencialidad
Control
Externos
Polticos Regulatorios
Ambientales/naturales
Tecnolgicos
Econmicos/mercado
El Control y mitigacin del riesgo operacional
Identifique los
Principales
Objetivos,
procesos y
recursos de
negocio
Identifique
los
riesgos
Analice y
Evale
Los
riesgos
Determine,
disee e
implemente
Medidas
de
Mitigacin
y control

Monitoree
y Revise
de manera
permanente

Pg 5
El proceso de contingencia de negocios
Identifique los
Principales
Objetivos,
procesos y
recursos de
negocio
Desarrolle un
Anlisis de
Impacto de
negocio
Determine
las
estrategias
y acciones
de
continuidad
Implemente
las acciones
y medidas
de
continuidad

Prueba
y
Mantenimiento
del plan

Estratgico
Operacional
Procesos de
Soporte
Determinacin del
MAO y continuidad
De procesos crticos

Sistemas alternos y
Redundantes, backup
Y recuperacin

Reducir la exposicin,
Impacto y prdida de
Recursos y procesos
Procesos de
backup
Administracin
De los datos
y registros
Acuerdos con
Entidades Externas
Manejo continuidad
Sistemtico
Robusto y
planeado
Recursos y
Compromiso
Clasifique por
importancia
Impacto
Operacional
Impacto
Financiero
Riesgos
Operacionales
Riesgos
financieros
Gente, infraestructura,
Telecomunicaciones,
Sist. De Informacin
Pg 7
PCN No es un documento,
es un proceso de negocio
Planificacin de
Recuperacin de
Instalaciones
Business
Continuity
Management
Compromiso de
la Alta Gerencia
Planificacin
de la Continuidad
del Negocio
Planificacin
del Sitio Alterno
de Trabajo
Planificacin
de Recursos
Humanos
Planificacin de
la Recuperacin
de la Tecnologa
Planificacin
del Manejo
de Crisis
Respuesta a emergencia y
restauracin de
instalaciones
Restauracin de los
Procesos crticos
Reubicacin del
personal
Personal Crtico
Restauracin de las
Aplicaciones
crticas
Administracin y
Manejo de Crisis
Fuente: Business Continuity Institute (BCI)
Pg 8
Pilares del PCN - BCM
Compromiso de la alta direccin y del mercado
Gerencia de Riesgos y Administracin de incidentes
Desarrollo de la estrategia de negocio y reconocimiento de
la importancia del Depsito en los procesos del mercado
Disminucin del tiempo de recuperacin de
los procesos crticos de negocio
Capacitacin y entrenamiento para asumir la contingencia
Interna y Externa
Pg 9
Mapa de procesos Crticos
CONTINGENCIA
Solicitud de
Informacin del
Sistema de Saldos
o del Sistema de
Referencias
Cliente
Custodia de
Valores
Anlisis de
Valores
Administracin
Custodio
Internacional
Ejercicio de
Derechos
Patrimoniales
y Sociales
Administracin
de Emisiones
Desmaterializadas
Administracin
de Cuentas
para Admn. Valores
y CYL
Operaciones
Entrega contra
Pago
Administracin
de hardware
y software
Mantenimiento y
Actualizacin del
Sistema de Saldos
Administracin
de la Base de
Datos
01 A
02 B
04 B
05 B
03 B
06 B
07 B
08 B
9 B
10 B
11 B
12 B
Pg 10
CONTINGENCIA
Soporte
Tcnico
Telecomunicaciones
Cierre de
Operaciones
Administracin
de Seguridad
de Riesgo Fsico
Gastos
Compras
Administracin de
Activos, Suministros
e Instalaciones
Correspondencia
Nmina
13 B
15 B
14 B
16 B
17 B
18 B
19 B
20 B
21 B
Auditora
22 B
Sistemas de Soporte
Pg 11
Metodologa PR
4

R ECUPERACION
R EANUDACION
R ESPUESTA
P REVENCION
R ESTAURACION
Reparar/Restaurar facilidades y contenidos
Regreso a casa
Recuperar Todas las Dems Operaciones
Reanudar las Operaciones Sensibles al
Tiempo en la Localidad Alterna
Manejo de Crisis
Contener el Dao
Activar Organizacin de Recuperacin
Proteccin de los Activos Corporativos
Manejo de riesgos
PR
4
Pg 12
El antes, el durante y el despus
Prevencin
Respuesta
Restauracin
ANTES DURANTE
DESPUES
PROCESOS
INSTALACIONES
Reanudacin
Vuelta a la Normalidad
Recuperacin
Decisin
Metodologa
PR4
Pg 13
Sitios de respaldo en
caso de contingencia total
Pg 14
Permite que el Depsito pueda funcionar
humana y tecnolgicamente respondiendo
por la operatividad del mercado

Cuenta con 43 puestos de trabajo para
atender las principales operaciones del
negocio y a clientes.

10 de los cuales estn destinados a
nuestros clientes en caso de que ellos no
puedan realizar sus operaciones en sus
instalaciones.
SEDE ALTERNA OPERATIVA - S.A.O.


Pg 15
DATA CENTER D.C.


Cuenta con la infraestructura para soportar el equipamiento y
aplicaciones crticas del Depsito.

Permite el enrutamiento de los clientes a un centro que cumpla
con los elementos de hardware, software, seguridad y
telecomunicaciones, enmarcados dentro de los requerimientos
tecnolgicos y operativos definidos por Deceval.

Componentes fsicos
Seguridad fsica.
Sistema anti-incendio.
Sistema de climatizacin de ambiente.
Energa elctrica.
Sala de trabajo.
Desastre natural.
Mantenimiento y soporte.
Pg 16
Centros de Contingencia
Pg 17
Otras medidas de proteccin
Replicacin de datos a centro alterno.
Backup de datos almacenado en custodio y centro alterno.
Sistemas crticos redundantes : comunicaciones, seguridad,
certificador digital
Configuracin de todos los sistemas crticos guardados en sitio alterno
Documentos principales del negocio guardado en custodio y en centro
alterno.
Replica de todos los principales documentos del negocio : informacin
principal de clientes, tarjeta de firmas autorizadas, tarjeta de
mensajeros
Especificaciones tcnicas de seguridad de hardware y software
Manual del plan de contingencia en el centro alterno.
Lista del recursos humano - Direcciones, telfonos.
Sistemas crticos de operacin en sede alterna operativa.

Pg 18
Matriz de Riesgos:
Evaluacin del Business Impact Analysis - BIA
ESCENARIO DE
FALLA O PRDIDA
CAUSAS EFECTOS I P R ACCIN CONTROL DE RIESGO
EVALUACIN DE RIESGOS
Describa el
escenario a
analizar
Describa las
causas que puede
generar el
escenario de falla Describa los
efectos que
derivan de las
causas
Describa la accin
inmediata a realizar una
vez se presenta el evento
Describa los tipos de
controles que
considera para mitigar
dicho riesgo
Califique el impacto, la
probabilidad y el riesgo de
ocurrencia segn las
definiciones previamente
dadas.
EVALUACION DEL Business Impact Analysis - BIA
Pg 19
Matriz de Riesgos
EVALUACION DEL BIA
Unidad de negocio: Informtica - Hardware Fecha: 26-Dic-05
ESCENARIO DE
FALLA O PRDIDA
CAUSAS EFECTOS
P I R ACCIN CONTROL DE RIESGO
1. Servidores - Deceval
Error humano
Labor preventiva
Dao fsico en componentes
Medio ambiente no adecuado en
el centro de cmputo
Picos de potencia
Servidores Produccin - Dao
Servidor SUN Deceval_2
Error humano / Labor preventiva
/ Dao Fsico en componentes /
Medio ambiente no adecuado en
el centro de cmputo / Picos de
potencia
Los clientes externos e internos
que accesan al SIID por este
servidor quedan sin servicio del
SIID / La base de datos de
trabajo de uso interno que utiliza
el operador queda fuera de lnea.
A M B
Verificar estado de la consola y
posibles mensajes de error; si el
equipo se encuentra fuera de
servicio
Trasladar todos los servicios de
cluster y sistema de informacion
al Deceval_1, Contactar al
proveedor, atender
oportunamente las llamadas de
los usuarios para realizar los
cambios de servidor.
Monitoreo diario y labores
preventivas / Backups
Actualizados
Servidores Produccin - Dao
Servidor SUN Deceval_1 y
Deceval_2
Error humano / Labor preventiva
/ Dao Fsico en componentes /
Medio ambiente no adecuado en
el centro de cmputo / Picos de
potencia
Se dispara la contingencia y la
operacin del depsito se debe
trasladar al SAO y al Datacenter.
A A A
Activar el sitio contingente (Base
de Datos y Forte) / Se
redireccionan los clientes al site
de contingencia para que se
conecten al servidor contingente,
Contactar al proveedor, atender
oportunamente las llamadas de
los usuarios para realizar los
cambios de servidor.
Monitoreo diario y labores
preventivas / Backups
Actualizados
Los clientes externos e internos
que accesan al SIID por este
servidor quedan sin servicio del
SIID / El rendimiento del SIID se
ve mermado por estar
funcionando al 50% de la
capacidad
Servidores Produccin - Dao
Servidor SUN Deceval_1
Verificar estado de la consola y
posibles mensajes de error; si el
equipo se encuentra fuera de
servicio
Trasladar todos los servicios de
cluster y sistema de informacion
al Deceval_2, Contactar al
proveedor, atender
oportunamente las llamadas de
los usuarios para realizar los
cambios de servidor.
A M M
Monitoreo diario y labores
preventivas / Backups
Actualizados
Pg 20
Cul quiere usted que sea su expresin
la prxima vez que ocurra un desastre?
Pg 21
Cul quiere usted que sea su expresin
la prxima vez que ocurra un desastre?
La organizacin debe estar preparada en los aspectos
ms importantes:

TECNOLOGIA
ORGANICE EL GRUPO HUMANO
CAPACITACION
IMPLEMENTE LAS ESTRATEGIAS
PROBAR PROBAR Y PROBAR
Pg 22
Pruebas del plan de continuidad
Las pruebas del plan de continuidad de negocios con el fin de validar los
cuatro grupos de estrategias definidos:

Estrategias preventivas
Estrategias de recuperacin
Estrategias de restauracin
Estrategias de manejo de crisis

En la ejecucin de un plan de pruebas principalmente se deber:

Probar el plan de evacuacin.
Probar los sistemas de alerta.
Probar conectividad y telecomunicaciones.
Probar el desempeo de los equipos de respaldo destinados para
atender la contingencia.
Monitorear el porcentaje de uso de los equipos, dispositivos de red y
canales de comunicacin.
Pg 23
Pruebas del plan de continuidad
Probar la habilidad de acceder a registros y recursos vitales, sistemas o
software para el manejo de datos y equipos.
Probar el desempeo del sistema en ambiente contingente.
Probar los procesos definidos para atender la contingencia.
Validar tiempos de desplazamiento y por actividad.
Probar los tiempos objetivo de recuperacin.
Probar los puntos objetivo de recuperacin.
Probar el conocimiento del plan de continuidad de los colaboradores.
Probar otros sistemas como servidores remotos accesador por Internet
LA META DE PROBAR Y EJERCITAR EL PLAN DE CONTINUIDAD
DE NEGOCIO NO ES ENCONTRAR SI FUNCIONA, SI NO
DEMOSTRAR QUE ESTAMOS PREPARADOS PARA LAS
CONTINGENCIAS TOTALES O PARCIALES.

RECUERDA QUE EL RECURSO HUMANO ES MUY IMPORTANTE