ACSDA – VIII Asamblea Anual
Panel: El Riesgo Operacional y su
apropiada administración.
Continuidad del Negocio - PCN
(Business Continuity Management – BCM)
Peace of Mind
DECEVAL S.A
LA GARANTIA DE UN NEGOCIO CONTINUO
Preparado por: Jorge Hernán Jaramillo Ossa
Presidente DECEVAL S.A.
El Salvador : 30 de Marzo de 2006
El interés creciente por el
manejo del riesgo operacional
Impacto
Sistémico Colapso del
Mercado
Crisis
Financieras
Administración del
Riesgo operacional Continuidad integral
de los negocios
Impacto
Económico
Crisis
Reputacional
“Pérdida de
Confianza”
Impacto en la
Infraestructura del
mercado
Impacto en
Otros Mercados
Globalización
Pág 2
Quienes tienen un interés principal por esta
temática ?
IOSCOCPSS
Grupo de los
30
ISSA
Recomendaciones
Sobre Administración
Del riesgo
Operacional
Autoridades
locales
Asociaciones
De la
Industria
Basilea II
Pág 3
El Control y mitigación del riesgo operacional
Identifique los
Principales
Objetivos,
procesos y
recursos de
negocio
Estratégico
Identifique
los
riesgos
Internos
Estratégicos
Operacionales
Operacional
Externos
Procesos de
Soporte
Políticos – Regulatorios
Ambientales/naturales
Tecnológicos
Económicos/mercado
Analice y
Evalúe
Los
riesgos
Determine,
diseñe e
Monitoree
implemente y Revise
Medidas
de manera
de
Mitigación permanente
y control
Criterios de
aceptación
Aceptar el
riesgo
Efectividad
Probabilidad
ocurrencia
Controlarlo
Potencialidad
Efectos/
impacto
Transferirlo
Control
Pág 4
El proceso de contingencia de negocios
Identifique los
Principales
Objetivos,
procesos y
recursos de
negocio
Estratégico
Operacional
Desarrolle un
Análisis de
Impacto de
negocio
Determine
las
estrategias
y acciones
de
continuidad
Riesgos
Operacionales
Determinación del
MAO y continuidad
De procesos críticos
Riesgos
financieros
Sistemas alternos y
Redundantes, backup
Y recuperación
Procesos de
Soporte
Impacto
Operacional
Reducir la exposición,
Impacto y pérdida de
Recursos y procesos
Clasifique por
importancia
Impacto
Financiero
Gente, infraestructura,
Telecomunicaciones,
Sist. De Informaciòn
Implemente
las acciones
y medidas
de
continuidad
Prueba
y
Mantenimiento
del plan
Procesos de
backup
Sistemático
Administración
De los datos
y registros
Robusto y
planeado
Acuerdos con
Entidades Externas
Manejo continuidad
Recursos y
Compromiso
Pág 5
PCN – No es un documento,
es un proceso de negocio en DECEVAL S.A.
Compromiso de
la Alta Gerencia
Planificación de
Recuperación de
Instalaciones
Planificación
del Manejo
de Crisis
Respuesta a emergencia y
restauración de
instalaciones
Planificación
de la Continuidad
del Negocio
Restauración de los
Procesos críticos
Administración y
Manejo de Crisis
Business
Continuity
Management
Planificación de
la Recuperación
de la Tecnología
Planificación
del Sitio Alterno
de Trabajo
Planificación
de Recursos
Humanos
Reubicación del
personal
Personal Crítico
Fuente: Business Continuity Institute (BCI)
Restauración de las
Aplicaciones
críticas
Pág 7
Pilares del PCN - BCM en DECEVAL
Compromiso de la alta dirección y del mercado
Gerencia de Riesgos y Administración de incidentes
Desarrollo de la estrategia de negocio y reconocimiento de
la importancia del Depósito en los procesos del mercado
Disminución del tiempo de recuperación de
los procesos críticos de negocio
Capacitación y entrenamiento para asumir la contingencia
Interna y Externa
Pág 8
Mapa de procesos Críticos
Custodia de
Valores
Cliente
Análisis de
Valores
02 B
Solicitud de
Información del
Sistema de Saldos
o del Sistema de
Referencias
03 B
04 B
12 B
Administración
Custodio
Internacional
01 A
Administración
de la Base de
Datos
05 B
CONTINGENCIA
Ejercicio de
Derechos
Patrimoniales
y Sociales
11 B
Mantenimiento y
Actualización del
Sistema de Saldos
06 B
10 B
Administración
de Emisiones
Desmaterializadas
07 B
9B
Administración
de hardware
y software
08 B
Operaciones
Entrega contra
Pago
Administración
de Cuentas
para Admón. Valores
y CYL
Pág 9
Sistemas de Soporte
Soporte
Técnico
Telecomunicaciones
13 B
14 B
Auditoría
Cierre de
Operaciones
22 B
15 B
CONTINGENCIA
Nómina
Administración
de Seguridad
de Riesgo Físico
21 B
16 B
17 B
Correspondencia
20 B
18 B
19 B
Administración de
Activos, Suministros
e Instalaciones
Gastos
Compras
Pág 10
Metodología PR4
PR4
R ESTAURACION
R ECUPERACION
R EANUDACION
R ESPUESTA
PREVENCION
Reparar/Restaurar facilidades y contenidos
“Regreso a casa”
Recuperar Todas las Demás Operaciones
Reanudar las Operaciones Sensibles al
Tiempo en la Localidad Alterna
Manejo de Crisis
Contener el Daño
Activar Organización de Recuperación
Protección de los Activos Corporativos
Manejo de riesgos
Pág 11
El antes, el durante y el después
ANTES
DURANTE
DESPUES
Prevención
PROCESOS
Respuesta
Reanudación
Decisión
Recuperación
Restauración
Metodología
PR4
INSTALACIONES
Vuelta a la Normalidad
Pág 12
Sitios de respaldo en
caso de contingencia total
Pág 13
SEDE ALTERNA OPERATIVA - S.A.O.
 Permite que el Depósito pueda funcionar
humana y tecnológicamente respondiendo
por la operatividad del mercado
Cuenta con 43 puestos de trabajo para
atender las principales operaciones del
negocio y a clientes.
10 de los cuales están destinados a
nuestros clientes en caso de que ellos no
puedan realizar sus operaciones en sus
instalaciones.
Pág 14
DATA CENTER – D.C.
•Cuenta con la infraestructura para soportar el equipamiento y
aplicaciones críticas del Depósito.
•Permite el enrutamiento de los clientes a un centro que cumpla
con los elementos de hardware, software, seguridad y
telecomunicaciones, enmarcados dentro de los requerimientos
tecnológicos y operativos definidos por Deceval.
•Componentes físicos
 Seguridad física.
 Sistema anti-incendio.
 Sistema de climatización de ambiente.
 Energía eléctrica.
 Sala de trabajo.
 Desastre natural.
 Mantenimiento y soporte.
Pág 15
Centros de Contingencia
Pág 16
Otras medidas de protección
• Replicación de datos a centro alterno.
• Backup de datos almacenado en custodio y centro alterno.
• Sistemas críticos redundantes : comunicaciones, seguridad,
certificador digital
• Configuración de todos los sistemas críticos guardados en sitio alterno
• Documentos principales del negocio guardado en custodio y en centro
alterno.
• Replica de todos los principales documentos del negocio : información
principal de clientes, tarjeta de firmas autorizadas, tarjeta de
mensajeros
• Especificaciones técnicas de seguridad de hardware y software
• Manual del plan de contingencia en el centro alterno.
• Lista del recursos humano - Direcciones, teléfonos.
• Sistemas críticos de operación en sede alterna operativa.
Pág 17
Nuestra Matriz de Riesgos:
Evaluación del Business Impact Analysis - BIA
Describa el
escenario a
analizar
Describa las
causas que puede
generar el
escenario de falla
Describa los
efectos que
derivan de las
causas
EVALUACION DEL
Business Impact
EVALUACIÓN DE RIESGOS
ESCENARIO DE
FALLA O PÉRDIDA
CAUSAS
EFECTOS
Califique el impacto, la
probabilidad y el riesgo de
ocurrencia según las
definiciones previamente
dadas.
I P R
Describa la acción
inmediata a realizar una
Analysisvez
- BIA
se presenta el evento
ACCIÓN
CONTROL DE RIESGO
Describa los tipos de
controles que
considera para mitigar
dicho riesgo
Pág 18
Nuestra Matriz de Riesgos
EVALUACION DEL BIA
U n id a d d e n e g o c io :
E S C E N A R IO D E
2 6 -D ic -0 5
F ech a:
In fo rm á tic a - H a rd w a re
CAUSAS
EFECTO S
F A L L A O P É R D ID A
P I R
A C C IÓ N
C O N T R O L D E R IE S G O
1 . S e rv id o re s - D e c e v a l
E rro r h u m a n o
L o s c lie n te s e x te rn o s e in te rn o s
V e rific a r e s ta d o d e la c o n s o la y M o n ito re o
L a b o r p re v e n tiv a
q u e a c c e s a n a l S IID p o r e s te
p o s ib le s m e n s a je s d e e rro r; s i e l p re v e n tiv a s
s e rv id o r q u e d a n s in s e rv ic io d e l
e q u ip o
S IID / E l re n d im ie n to d e l S IID s e
s e rv ic io
v e m e rm a d o p o r e s ta r
T ra s la d a r to d o s lo s s e rv ic io s d e
D a ñ o fís ic o e n c o m p o n e n te s
M e d io a m b ie n te n o a d e c u a d o e n
e l c e n tro d e c ó m p u to
S e rv id o re s P ro d u c c ió n - D a ñ o
S e rv id o r S U N D e c e v a l_ 1
P ic o s d e p o te n c ia
fu n c io n a n d o a l 5 0 % d e la
c a p a c id a d
A M M
se
e n c u e n tra
fu e ra
d ia rio
y
/
la b o re s
Backups
d e A c tu a liz a d o s
c lu s te r y s is te m a d e in fo rm a c io n
al
D e c e v a l_ 2 ,
C o n ta c ta r
p ro v e e d o r,
o p o rtu n a m e n te
lo s
al
a te n d e r
u s u a rio s
la s
p a ra
lla m a d a s
de
re a liz a r
lo s
c a m b io s d e s e rv id o r.
S e rv id o re s
P ro d u c c ió n
-
E rro r h u m a n o / L a b o r p re v e n tiv a L o s c lie n te s e x te rn o s e in te rn o s
V e rific a r e s ta d o d e la c o n s o la y M o n ito re o
/ D a ñ o F ís ic o e n c o m p o n e n te s / q u e a c c e s a n a l S IID p o r e s te
p o s ib le s m e n s a je s d e e rro r; s i e l p re v e n tiv a s
M e d io a m b ie n te n o a d e c u a d o e n s e rv id o r q u e d a n s in s e rv ic io d e l
e q u ip o
e l c e n tro d e c ó m p u to / P ic o s d e S IID / L a b a s e d e d a to s d e
s e rv ic io
p o te n c ia
T ra s la d a r to d o s lo s s e rv ic io s d e
tra b a jo d e u s o in te rn o q u e u tiliz a
e l o p e ra d o r q u e d a fu e ra d e lín e a .
D año
e n c u e n tra
fu e ra
y
/
la b o re s
Backups
d e A c tu a liz a d o s
c lu s te r y s is te m a d e in fo rm a c io n
A
S e rv id o r S U N D e c e v a l_ 2
se
d ia rio
M B
al
D e c e v a l_ 1 ,
C o n ta c ta r
p ro v e e d o r,
o p o rtu n a m e n te
lo s
al
a te n d e r
u s u a rio s
la s
p a ra
lla m a d a s
de
re a liz a r
lo s
c a m b io s d e s e rv id o r.
S e rv id o re s
S e rv id o r
D e c e v a l_ 2
P ro d u c c ió n
SUN
-
E rro r h u m a n o / L a b o r p re v e n tiv a S e d is p a ra la c o n tin g e n c ia y la
A c tiv a r e l s itio c o n tin g e n te (B a s e M o n ito re o
/ D a ñ o F ís ic o e n c o m p o n e n te s / o p e ra c ió n d e l d e p ó s ito s e d e b e
de
M e d io a m b ie n te n o a d e c u a d o e n tra s la d a r a l S A O y a l D a ta c e n te r.
re d ire c c io n a n lo s c lie n te s a l s ite A c tu a liz a d o s
e l c e n tro d e c ó m p u to / P ic o s d e
de
D a ñ o p o te n c ia
D e c e v a l_ 1
y
A
A
A
D a to s
y
F o rte )
c o n tin g e n c ia
p a ra
/
que
S e p re v e n tiv a s
d ia rio
/
y
la b o re s
Backups
se
c o n e c te n a l s e rv id o r c o n tin g e n te ,
C o n ta c ta r a l p ro v e e d o r, a te n d e r
o p o rtu n a m e n te
lo s
u s u a rio s
la s
p a ra
c a m b io s d e s e rv id o r.
lla m a d a s
de
re a liz a r
lo s
Pág 19
¿Cuál quiere usted que sea su expresión
la próxima vez que ocurra un desastre?
Pág 20
¿Cuál quiere usted que sea su expresión
la próxima vez que ocurra un desastre?
La organización debe estar preparada en los aspectos
más importantes:
TECNOLOGIA
ORGANICE EL GRUPO HUMANO
CAPACITACION
IMPLEMENTE LAS ESTRATEGIAS
PROBAR – PROBAR Y PROBAR
Pág 21
Organigrama DECEVAL S.A. BCM
Equipo de Gestión
Equipo de Auditoria
Equipo de manejo
de crisis
Equipo de
Contingencia
Equipo de Operaciones
Equipo Financiero
y Administrativo
Equipo de Apoyo
Logístico
Equipo de Informática
y
Tecnología
Pág 22
Pruebas del plan de continuidad
Para el año 2006 Deceval realizará 4 pruebas del plan de continuidad de
negocios con el fin de validar los cuatro grupos de estrategias definidos:
•
•
•
•
Estrategias preventivas
Estrategias de recuperación
Estrategias de restauración
Estrategias de manejo de crisis
 En la ejecución de un plan de pruebas principalmente se deberá:
•
•
•
•
•
Probar el plan de evacuación.
Probar los sistemas de alerta.
Probar conectividad y telecomunicaciones.
Probar el desempeño de los equipos de respaldo destinados para
atender la contingencia.
Monitorear el porcentaje de uso de los equipos, dispositivos de red y
canales de comunicación.
Pág 23
Pruebas del plan de continuidad
•
•
•
•
•
•
•
•
Probar la habilidad de acceder a registros y recursos vitales, sistemas o
software para el manejo de datos y equipos.
Probar el desempeño del sistema en ambiente contingente.
Probar los procesos definidos para atender la contingencia.
Validar tiempos de desplazamiento y por actividad.
Probar los tiempos objetivo de recuperación.
Probar los puntos objetivo de recuperación.
Probar el conocimiento del plan de continuidad de los colaboradores.
Probar otros sistemas como S.E.B.R.A., Bancolombia Tidis, Alterno Tidis,
Creation Online
“LA META DE PROBAR Y EJERCITAR EL PLAN DE CONTINUIDAD
DE NEGOCIO NO ES ENCONTRAR SI FUNCIONA, SI NO
DEMOSTRAR QUE ESTAMOS PREPARADOS PARA LAS
CONTINGENCIAS TOTALES O PARCIALES.”
RECUERDA QUE EL RECURSO HUMANO ES MUY IMPORTANTE
Pág 24
Descargar

Equipo de trabajo