Continuidad del Negocio - PCN (Business Continuity Management BCM)
LA GARANTIA DE UN NEGOCIO CONTINUO Preparado por: Jorge Hernn Jaramillo Ossa
Pg 2 El inters creciente por el manejo del riesgo operacional Crisis Financieras Administracin del Riesgo operacional - Continuidad integral de los negocios Crisis Reputacional Prdida de Confianza Impacto Econmico Impacto en la Infraestructura del mercado Impacto en Otros Mercados Globalizacin Impacto Sistmico - Colapso del Mercado Pg 3 Quienes tienen un inters principal por esta temtica ? Grupo de los 30 Recomendaciones Sobre Administracin Del riesgo Operacional ISSA Autoridades locales Asociaciones De la Industria Basilea II IOSCO- CPSS Pg 4 Estratgico Operacional Procesos de Soporte Internos Estratgicos Operacionales
Criterios de aceptacin Probabilidad ocurrencia Efectos/ impacto Aceptar el riesgo Controlarlo Transferirlo Efectividad Potencialidad Control Externos Polticos Regulatorios Ambientales/naturales Tecnolgicos Econmicos/mercado El Control y mitigacin del riesgo operacional Identifique los Principales Objetivos, procesos y recursos de negocio Identifique los riesgos Analice y Evale Los riesgos Determine, disee e implemente Medidas de Mitigacin y control
Monitoree y Revise de manera permanente
Pg 5 El proceso de contingencia de negocios Identifique los Principales Objetivos, procesos y recursos de negocio Desarrolle un Anlisis de Impacto de negocio Determine las estrategias y acciones de continuidad Implemente las acciones y medidas de continuidad
Prueba y Mantenimiento del plan
Estratgico Operacional Procesos de Soporte Determinacin del MAO y continuidad De procesos crticos
Sistemas alternos y Redundantes, backup Y recuperacin
Reducir la exposicin, Impacto y prdida de Recursos y procesos Procesos de backup Administracin De los datos y registros Acuerdos con Entidades Externas Manejo continuidad Sistemtico Robusto y planeado Recursos y Compromiso Clasifique por importancia Impacto Operacional Impacto Financiero Riesgos Operacionales Riesgos financieros Gente, infraestructura, Telecomunicaciones, Sist. De Informacin Pg 7 PCN No es un documento, es un proceso de negocio Planificacin de Recuperacin de Instalaciones Business Continuity Management Compromiso de la Alta Gerencia Planificacin de la Continuidad del Negocio Planificacin del Sitio Alterno de Trabajo Planificacin de Recursos Humanos Planificacin de la Recuperacin de la Tecnologa Planificacin del Manejo de Crisis Respuesta a emergencia y restauracin de instalaciones Restauracin de los Procesos crticos Reubicacin del personal Personal Crtico Restauracin de las Aplicaciones crticas Administracin y Manejo de Crisis Fuente: Business Continuity Institute (BCI) Pg 8 Pilares del PCN - BCM Compromiso de la alta direccin y del mercado Gerencia de Riesgos y Administracin de incidentes Desarrollo de la estrategia de negocio y reconocimiento de la importancia del Depsito en los procesos del mercado Disminucin del tiempo de recuperacin de los procesos crticos de negocio Capacitacin y entrenamiento para asumir la contingencia Interna y Externa Pg 9 Mapa de procesos Crticos CONTINGENCIA Solicitud de Informacin del Sistema de Saldos o del Sistema de Referencias Cliente Custodia de Valores Anlisis de Valores Administracin Custodio Internacional Ejercicio de Derechos Patrimoniales y Sociales Administracin de Emisiones Desmaterializadas Administracin de Cuentas para Admn. Valores y CYL Operaciones Entrega contra Pago Administracin de hardware y software Mantenimiento y Actualizacin del Sistema de Saldos Administracin de la Base de Datos 01 A 02 B 04 B 05 B 03 B 06 B 07 B 08 B 9 B 10 B 11 B 12 B Pg 10 CONTINGENCIA Soporte Tcnico Telecomunicaciones Cierre de Operaciones Administracin de Seguridad de Riesgo Fsico Gastos Compras Administracin de Activos, Suministros e Instalaciones Correspondencia Nmina 13 B 15 B 14 B 16 B 17 B 18 B 19 B 20 B 21 B Auditora 22 B Sistemas de Soporte Pg 11 Metodologa PR 4
R ECUPERACION R EANUDACION R ESPUESTA P REVENCION R ESTAURACION Reparar/Restaurar facilidades y contenidos Regreso a casa Recuperar Todas las Dems Operaciones Reanudar las Operaciones Sensibles al Tiempo en la Localidad Alterna Manejo de Crisis Contener el Dao Activar Organizacin de Recuperacin Proteccin de los Activos Corporativos Manejo de riesgos PR 4 Pg 12 El antes, el durante y el despus Prevencin Respuesta Restauracin ANTES DURANTE DESPUES PROCESOS INSTALACIONES Reanudacin Vuelta a la Normalidad Recuperacin Decisin Metodologa PR4 Pg 13 Sitios de respaldo en caso de contingencia total Pg 14 Permite que el Depsito pueda funcionar humana y tecnolgicamente respondiendo por la operatividad del mercado
Cuenta con 43 puestos de trabajo para atender las principales operaciones del negocio y a clientes.
10 de los cuales estn destinados a nuestros clientes en caso de que ellos no puedan realizar sus operaciones en sus instalaciones. SEDE ALTERNA OPERATIVA - S.A.O.
Pg 15 DATA CENTER D.C.
Cuenta con la infraestructura para soportar el equipamiento y aplicaciones crticas del Depsito.
Permite el enrutamiento de los clientes a un centro que cumpla con los elementos de hardware, software, seguridad y telecomunicaciones, enmarcados dentro de los requerimientos tecnolgicos y operativos definidos por Deceval.
Componentes fsicos Seguridad fsica. Sistema anti-incendio. Sistema de climatizacin de ambiente. Energa elctrica. Sala de trabajo. Desastre natural. Mantenimiento y soporte. Pg 16 Centros de Contingencia Pg 17 Otras medidas de proteccin Replicacin de datos a centro alterno. Backup de datos almacenado en custodio y centro alterno. Sistemas crticos redundantes : comunicaciones, seguridad, certificador digital Configuracin de todos los sistemas crticos guardados en sitio alterno Documentos principales del negocio guardado en custodio y en centro alterno. Replica de todos los principales documentos del negocio : informacin principal de clientes, tarjeta de firmas autorizadas, tarjeta de mensajeros Especificaciones tcnicas de seguridad de hardware y software Manual del plan de contingencia en el centro alterno. Lista del recursos humano - Direcciones, telfonos. Sistemas crticos de operacin en sede alterna operativa.
Pg 18 Matriz de Riesgos: Evaluacin del Business Impact Analysis - BIA ESCENARIO DE FALLA O PRDIDA CAUSAS EFECTOS I P R ACCIN CONTROL DE RIESGO EVALUACIN DE RIESGOS Describa el escenario a analizar Describa las causas que puede generar el escenario de falla Describa los efectos que derivan de las causas Describa la accin inmediata a realizar una vez se presenta el evento Describa los tipos de controles que considera para mitigar dicho riesgo Califique el impacto, la probabilidad y el riesgo de ocurrencia segn las definiciones previamente dadas. EVALUACION DEL Business Impact Analysis - BIA Pg 19 Matriz de Riesgos EVALUACION DEL BIA Unidad de negocio: Informtica - Hardware Fecha: 26-Dic-05 ESCENARIO DE FALLA O PRDIDA CAUSAS EFECTOS P I R ACCIN CONTROL DE RIESGO 1. Servidores - Deceval Error humano Labor preventiva Dao fsico en componentes Medio ambiente no adecuado en el centro de cmputo Picos de potencia Servidores Produccin - Dao Servidor SUN Deceval_2 Error humano / Labor preventiva / Dao Fsico en componentes / Medio ambiente no adecuado en el centro de cmputo / Picos de potencia Los clientes externos e internos que accesan al SIID por este servidor quedan sin servicio del SIID / La base de datos de trabajo de uso interno que utiliza el operador queda fuera de lnea. A M B Verificar estado de la consola y posibles mensajes de error; si el equipo se encuentra fuera de servicio Trasladar todos los servicios de cluster y sistema de informacion al Deceval_1, Contactar al proveedor, atender oportunamente las llamadas de los usuarios para realizar los cambios de servidor. Monitoreo diario y labores preventivas / Backups Actualizados Servidores Produccin - Dao Servidor SUN Deceval_1 y Deceval_2 Error humano / Labor preventiva / Dao Fsico en componentes / Medio ambiente no adecuado en el centro de cmputo / Picos de potencia Se dispara la contingencia y la operacin del depsito se debe trasladar al SAO y al Datacenter. A A A Activar el sitio contingente (Base de Datos y Forte) / Se redireccionan los clientes al site de contingencia para que se conecten al servidor contingente, Contactar al proveedor, atender oportunamente las llamadas de los usuarios para realizar los cambios de servidor. Monitoreo diario y labores preventivas / Backups Actualizados Los clientes externos e internos que accesan al SIID por este servidor quedan sin servicio del SIID / El rendimiento del SIID se ve mermado por estar funcionando al 50% de la capacidad Servidores Produccin - Dao Servidor SUN Deceval_1 Verificar estado de la consola y posibles mensajes de error; si el equipo se encuentra fuera de servicio Trasladar todos los servicios de cluster y sistema de informacion al Deceval_2, Contactar al proveedor, atender oportunamente las llamadas de los usuarios para realizar los cambios de servidor. A M M Monitoreo diario y labores preventivas / Backups Actualizados Pg 20 Cul quiere usted que sea su expresin la prxima vez que ocurra un desastre? Pg 21 Cul quiere usted que sea su expresin la prxima vez que ocurra un desastre? La organizacin debe estar preparada en los aspectos ms importantes:
TECNOLOGIA ORGANICE EL GRUPO HUMANO CAPACITACION IMPLEMENTE LAS ESTRATEGIAS PROBAR PROBAR Y PROBAR Pg 22 Pruebas del plan de continuidad Las pruebas del plan de continuidad de negocios con el fin de validar los cuatro grupos de estrategias definidos:
Estrategias preventivas Estrategias de recuperacin Estrategias de restauracin Estrategias de manejo de crisis
En la ejecucin de un plan de pruebas principalmente se deber:
Probar el plan de evacuacin. Probar los sistemas de alerta. Probar conectividad y telecomunicaciones. Probar el desempeo de los equipos de respaldo destinados para atender la contingencia. Monitorear el porcentaje de uso de los equipos, dispositivos de red y canales de comunicacin. Pg 23 Pruebas del plan de continuidad Probar la habilidad de acceder a registros y recursos vitales, sistemas o software para el manejo de datos y equipos. Probar el desempeo del sistema en ambiente contingente. Probar los procesos definidos para atender la contingencia. Validar tiempos de desplazamiento y por actividad. Probar los tiempos objetivo de recuperacin. Probar los puntos objetivo de recuperacin. Probar el conocimiento del plan de continuidad de los colaboradores. Probar otros sistemas como servidores remotos accesador por Internet LA META DE PROBAR Y EJERCITAR EL PLAN DE CONTINUIDAD DE NEGOCIO NO ES ENCONTRAR SI FUNCIONA, SI NO DEMOSTRAR QUE ESTAMOS PREPARADOS PARA LAS CONTINGENCIAS TOTALES O PARCIALES.