Gestión de Continuidad de Negocio

Banco de la República
Departamento de Unidad de Soporte y
Gestión de Riesgos y Continuidad
Procesos Informática

Subgerencia de Dirección General de

Gestión de Riesgo Tecnología
Operativo
2014
 Sistema de Gestión de
Continuidad de Negocio
Sistema de Gestión de Continuidad

Marco de
Referencia

Integración Modelo
Sistema de
Gestión de
Continuidad

Medición Procesos
 Marco De Referencia
Objetivo General
Fortalecer la capacidad del Banco para cumplir las funciones legalmente a su cargo ante situaciones que
amenacen la continuidad de las mismas o que puedan impactar a sus empleados, sus bienes, su reputación o la
estabilidad del sector financiero

Objetivos Específicos
• Contar con planes de continuidad de acuerdo con riesgos potenciales que puedan ocasionar interrupción en la
operación del Banco.

• Proveer las herramientas necesarias a las áreas del Banco para que desarrollen los planes de continuidad que
permitan el continuo funcionamiento de sus procesos.

• Comprobar de forma periódica y sistemática, que los recursos contingentes estén disponibles.

• Desarrollar en el Banco una cultura de Gestión de Continuidad mediante la comunicación, sensibilización y

capacitación de los colaboradores en los respectivos planes.

• Realizar un mejoramiento continuo del SGC mediante el registro y seguimiento de acciones preventivas,
correctivas y de mejora.

• Fomentar la resiliencia del sector financiero a partir del establecimiento de estrategias de continuidad de
forma coordinada entre el Banco y las diferentes entidades, y la verificación periódica de las mismas.
 Modelo de Gestión de Continuidad
GESTIÓN PREVIA GESTIÓN POSTERIOR

PROCESOS MISIONALES SITUACIONES DE CRISIS EVENTO DE RIESGO

Análisis de Análisis de Análisis de

Riesgo Impacto Riesgo
(BIA) Nivel de Actividad normal
(ARO) (ARO)

Normalidad
Identificar

Riesgos Impacto, RPO, RTO Riesgos

Potenciales Recursos Mínimos Potenciales

Establecer Establecer Responder Activar

PLANES
PLANES

Reportar
Continuidad Gestión de Reanudar ERP
Operativa BCP DRP
Integrar Crisis
(BCP) (IMP) IMP
Recuperar
Prevención y
Recuperación
Atención de
Tecnológica
Emergencias Retornar
(DRP)
(ERP)

Realizar Realizar
LECCIONES
APRENDIDAS
Mantenimiento INDICADORES
y Pruebas

MEJORA
CONTINUA
 Procesos

El Banco trabaja con los lineamientos de la ISO 22301 para Sistemas de Gestión de Continuidad de Negocio
 Plan de Continuidad Operativo

• Planes desarrollados bajo metodología alineada con ISO 22301

– BIA (Recursos Mínimos, RTO’s y RPO’s), Análisis de Riesgos, Estrategias
Operativas, Administración de Crisis, Mecanismos de Comunicación,
Divulgación y Capacitación, Cronogramas de Pruebas

• ~ 100 Estrategias Operativas  2013: 292 (89%) / 2014: 366 (48%)

• Centros Alternos de Operación:

– Bogotá: 65 Estaciones CdE  200 + 5 BLAA+ 5 Centro de Soporte

– Barranquilla: 25 Estaciones  100

• Sistema de Prevención y Atención de Emergencias

– 1 simulacro de evacuación por edificación/año  42
 Medición: Indicadores de Gestión

Cobertura de Planes • Cobertura de escenarios

de Continuidad • Resultados pruebas internas

Herramientas SGC • Encuesta Servicios

Recursos • Recursos disponibles

Contingentes • Impacto por no disponibilidad de recursos

• Capacitaciones
Cultura de Gestión
• Liderazgo

• Registro y seguimiento a Acciones

Mejora Continuidad Correctivas, Preventivas y de Mejora

Resiliencia del
• Resultados pruebas con el sector
Sector Financiero
 Medición: Modelo de Madurez*
Compromiso de la
Dirección
Liderazgo

DRP
BCP Contenido del Conciencia de los Conocimiento
ERP Programa Empleados Competencias
IMP

Integración con el Alcance

Coordinación Externa Estructura
Sector y Estado Marco Referencia

Disponibilidad Recursos Penetración Integración en la

cultura

Métricas

Monitoreo

*BCMM: Business Continuity Maturity Model. Virtual Corp v2.0

 Integración

• Entre Planes Operativos – Áreas de Negocio (BCP)

• Entre Planes de IT (DRP) y Operativos (BCP)
• Entre Planes de IT (DRP) y Operativos (BCP) +
Interna Planes de atención de emergencias (ERP) + Planes
de Gestión de Crisis (IMP)

• Sector Financiero:
• Comité de Continuidad Asobancaria
• Comité Gestión de Crisis Mercado de Valores

Externa
• Gobierno
• Integración con SFC/MHCP/Presidencia
• Mesa Infraestructuras Críticas (Comando Conjunto Cibernético)
• Organismos Gubernamentales para Gestión de Riesgos y Atención de
Emergencias: FOPAE, Bomberos, Policía, Of. Gestión de Riesgos
• Actividades: Planes de Gestión de Crisis, Pruebas Sectoriales
Continuidad Informática
Procesos Dirección General de Tecnología
 Requerimientos de Negocio

• Procesos priorizados (BIA)

• Horarios críticos de los servicios

• RTO’s y RPO’s
 MUSEO DEL ORO

Nodos Tecnológicos

BR – Fibra Oscura
Pq. Stder – 1GB
BARRANQUILLA

ANEXO A
Tercer Nodo
INTERNET ETB – Radio
Tecnológico
1,5 MB (Ultima Instancia)

BR – Fibra Oscura
Pq. Stder – 1GB
Canal
Replicación Canal
Replicación

B/QUILLA AVIANCA

INTERNET INTERNET

BR – Fibra Oscura
Pq. Stder – 1GB
Canal Red
Nacional

PRINCIPAL

BLAA

BOGOTÁ Fibra
1GB

BR - Fibra Oscura – Calle 19

10 GB

Alterno Principal M. CULTURAL

(Central de Efectivo) (Centro)

IMPRENTA BILLETES
 Nodos Tecnológicos

Características\Nodo Principal Alterno (CdE)

Servicios 63 53

Tiempo de conmutación 2 horas 1:40 horas

Procedimientos durante
27 11
activación

Procedimientos durante el
36 13
retorno
 Plataforma Tecnológica

Plataformas:
Windows, Solaris, Linux, AS/400

Servidores\Nodo Principal Alterno (CdE)

Físicos 160 50

Virtuales 250
 Estrategias Tecnológicas
Servicio App Server RTO DB RTO
CUD Activo-Activo 0 Activo-Pasivo (Cluster) 20

DCV Activo-Pasivo 15 Activo-Pasivo (Cluster) 10

Subastas Activo-Pasivo 10 Activo-Pasivo (Cluster) 10

Cedec Activo-Pasivo 15 Activo-Pasivo (Cluster) 20

Cenit Activo-Pasivo 15 Activo-Pasivo (Cluster) 20

SEN Activo-Pasivo 45 N/A* -

WSEBRA Activo-Activo 0 N/A -

Htrans Activo-Pasivo 10 Activo-Pasivo (Cluster) 20

SUCED Activo-Pasivo 10 Activo-Pasivo (Cluster) 20

S3 Activo-Activo 0 Activo-Pasivo (Cluster) 20

PKI Activo-Activo 0 Activo-Pasivo (Cluster) 20

Antares Activo-Pasivo 10 Activo-Pasivo (Cluster) 10

 Pruebas de Continuidad Tecnológicas

• 4 pruebas por nodo programadas al año

• 2 pruebas programadas de TNT

• Procedimientos tecnológicos probados periódicamente

• Seguimiento a hallazgos

• Pruebas en horario hábil

• Recurso humano/prueba : 2 Ing. DBA, 1 Ing. Soporte,

1 Ing. Telecomunicaciones, 1 Ing. Seguridad, 1 Ing.
Continuidad, 2 Técnicos de Centro de Cómputo
 Sistema de Monitoreo

• Monitoreo de la experiencia del usuario final

• Recursos avanzados de aislamiento de problemas

• Dashboard basado en el usuario y en el rol el cual muestra el

funcionamiento y el estado de los componentes de TI así como
sus dependencias

• Modelamiento de servicios críticos que incluye los

componentes que lo conforman (incluyendo contingencias),
relaciones con otros servicios, dependencias, agregaciones, etc.

• Análisis de impacto en el servicio que permite establecer una

correlación entre eventos
Inconvenientes Comunes en Clientes

• Fallas de comunicación debido a problemas con

canales
 Canal principal y respaldo con el mismo proveedor

• Uso incorrecto de los canales de comunicación

 Los dos canales: SEN y Aplicaciones SEBRA  deben
ser independientes

• Listas de contactos desactualizadas

• Reporte de Incidentes Técnicos

 Abrir caso en línea de soporte
PREGUNTAS

GRACIAS