Sistema de Gestión de Crisis y

Continuidad del Negocio

Marzo de 2021
Contenido
• Descripción del Servicio
• Marco Metodológico
• Objetivos y Alcance
• Análisis de Impacto al Negocio (BIA)
• Análisis de Riesgos
• Escenarios de Falla
• Estrategias de Continuidad
• Planes de Continuidad del Negocio
• Gestión de Incidentes de Seguridad
• Cronograma de Pruebas de Continuidad
Descripción del Servicio

Precia Proveedor de Precios para Valoración S.A. Filial de la Bolsa de

Valores de Colombia, es el encargado de determinar diariamente los
precios de los activos financieros de entidades como Aseguradoras, Fondos
Mutuos, Bancos, Sociedades Fiduciarias, Comisionistas de Bolsa,
Compañías de Financiamiento Comercial, Corporaciones Financieras,
Fondos de Pensiones, entre otras entidades públicas y privadas de diversos
sectores.

Nuestros Productos
• Instrumentos de renta fija local e internacional.
• Acciones.
• Derivados estandarizados, negociados en Colombia.
• Insumos para la valoración de derivados OTC.
• Derivados energéticos.
• Notas estructuradas.
Somos el principal proveedor de precios en Colombia, contamos con 221
• CVA/DVA clientes y poseemos la Certificación ISAE 3402 (semestral)
• Valoración de empresas, proyectos Inmobiliarios y otros
activos.
Marco Metodológico

El modelo adoptado por precia para definir e implementar la Gestión de Crisis y Continuidad de Negocio está
basado en el estándar ISO 22301.
Objetivo y Alcance del Sistema
Objetivo
• Establecer las actividades preventivas y correctivas
para atender de manera eficiente una situación que
comprometa el normal funcionamiento de los
procesos, recurso humano, las instalaciones físicas,
técnicas, operativas y de terceros, así como una crisis
reputacional.
El Sistema de Gestión de Crisis y Continuidad de Negocio es revisado de manera anual o en el caso en
que se presente un cambio significativo en los procesos de precia.
Alcance
• La Gestión de Crisis y Continuidad del Negocio
aplica a todas las áreas, procesos internos, clientes
externos, proveedores y entes reguladores como
actores claves dentro de la razón social de precia.
Busca comprender y preparar escenarios de falla que
comprometan el recurso humano, las instalaciones
físicas, técnicas, operativas y de terceros, así como
una crisis reputacional.
Análisis de Impacto al Negocio

La metodología busca valorar los impactos en los procesos críticos ante una interrupción que afecte la
continuidad de la empresa.

Identificación de Identificación de
Impactos Identificación de Identificación de
Impactos cuantitativos Registros vitales plataforma Identificación de
cualitativos tiempos de recursos críticos
ocasionados por una requeridos para tecnológica para proveedores
ocasionados por interrupción para operar ante
interrupción operar ante una operar ante una críticos
una interrupción tolerables una interrupción
interrupción interrupción

Punto Objetivo de Recuperación (RPO): Punto en Periodo máximo tolerable de interrupción (MTPD/MAO):
el cual la información usada por una actividad debe El tiempo que tomaría para que los efectos adversos que
ser restaurada para permitir la reanudación de la pudieran ocurrir como resultado de no proporcionar un
operación. producto / servicio o realizar una actividad, se conviertan en
inaceptable.
Tiempo objetivo de recuperación (RTO): Periodo
de tiempo después de un incidente en el que: El Objetivo mínimo de Continuidad de Negocio (MBCO):
producto o servicio debe ser reanudado, o la Nivel mínimo de servicios o productos que sea aceptable para
actividad debe reanudarse, o los recursos deben ser la organización para lograr su objetivo de negocio durante una
recuperados. interrupción.
Análisis de Impacto al Negocio

Resultados

Se identificaron los tiempos y puntos críticos para cada proceso así:

2 Más de 2
30 minutos 1 hora 2 horas 4 horas 8 horas 1 día 2 días 4 días 1 semana
semanas semanas

Macroproceso Producto o proceso 30 min 1h 2h 4h 8h 1d 2d 4d 1s 2s >2s RTO MAO MBCO

Gestión de Valoración Derivados OTC 1 2 4 5 5 5 5 5 5 5 5 2 horas 1 día 50%
Gestión de Valoración Renta Fija Internacional 1 2 4 5 5 5 5 5 5 5 5 2 horas 1 día 50%
Renta Variable
Gestión de Valoración 1 2 4 5 5 5 5 5 5 5 5 2 horas 1 día 50%
Internacional
Gestión de Valoración Renta Variable Local 1 2 4 5 5 5 5 5 5 5 5 2 horas 1 día 33%
Gestión de Valoración Derivados Financieros 1 2 4 5 5 5 5 5 5 5 5 2 horas 1 día 50%
Gestión de Valoración Derivados Energéticos 1 2 4 5 5 5 5 5 5 5 5 2 horas 1 día 50%
Gestión de Valoración Renta Fija Local 1 2 3 5 5 5 5 5 5 5 5 2 horas 1 día 50%
Gestión de Valoración Notas Estructuradas 1 2 3 4 5 5 5 5 5 5 5 4 horas 1 día 50%
Gestión de Valoración CVA/DVA 1 2 3 4 5 5 5 5 5 5 5 4 horas 1 día 50%
Análisis de Riesgos

Riesgo global de C y CN: Perdida de disponibilidad de los servicios y procesos

Consecuencias
• Fallas tecnológicas • Planes de continuidad de
• Fallas del recurso humano negocio
• Fallas de la Infraestructura • Análisis de Impacto al Negocio
• Riesgo sistémico
Física • Estrategias de contingencia y
• Afectación de la reputación
• Fallas de servicios provistos por continuidad
• Pérdida de credibilidad en el • Plan de gestión de desastres
terceros
mercado
• Fallas operativas • Plan de emergencia
• Demandas
• Crisis reputacional
• Sanciones
• Multas
Causas • Pérdidas económicas
Controles
Escenarios de Falla

En precia han sido definidos seis tipos de escenarios para la clasificación y análisis de los eventos de contingencia y crisis que se
presenten.

ESCENARIOS DESCRIPCIÓN DE ESCENARIOS

No disponibilidad total o parcial de un sistema de información. Estas fallas contemplan un evento de

Falla Tecnológica
ciberataque.

No disponibilidad de los colaboradores encargados del desarrollo de los procesos críticos por Pandemia o
Falla de Recurso Humano enfermedad generalizada, problemas de movilidad por paro de transporte, inconvenientes en el
desplazamiento al lugar de trabajo, obligaciones legales y/o cívicas o retiro masivo de colaboradores.

No disponibilidad total o parcial de: instalaciones físicas (oficinas), elementos de infraestructura crítica de
Falla de Infraestructura Física los puestos de trabajo y servicios públicos ocasionados por incendio, inundación, desastres naturales, falla
suministro de energía y eventos externos (terrorismo, toma de instalaciones, etc.)

Falla de Terceros No disponibilidad total o parcial del servicio prestado por un proveedor crítico o socio de negocio

Interrupción de proceso crítico por errores humanos, falla en ejecución de procesos, desconocimiento o
Falla Operativa
negligencia, inadecuada definición de procedimientos o fallas funcional de un sistema

Situación en que el buen nombre e imagen de la compañía se puede ver amenazada por eventos previstos o
Crisis Reputacional
no y que pueden estar o no derivados de la operación del negocio
Estrategias de Continuidad

• Capacitación
• Análisis de recursos mínimos por procesos
• Designación de persona (s) respaldo
RECURSO HUMANO • Rotación de personal en operación diaria
• Trabajo remoto

• Activación DC Alterno
• Replicación de instancias
TECNOLÓGICA • Copias de respaldo.
• Mecanismos alternos de carga de información

• Centro Alterno Operativo - Deceval (Calle 24A # 59 - 42 Torre 3

Oficina 501)
INFRAESTRUCTURA • Trabajo remoto
FÍSICA • Acuerdos de Servicio con Proveedores Críticos.
• Gestión de seguridad física (Protección de instalaciones, Activos,
control de acceso, etc.)

• Metodología de cada producto

TERCEROS • Publicación de información histórica
• Información de varias fuentes

OPERATIVA • Impugnaciones
• Capacitaciones periódicas a los miembros del equipo
Estrategias de Continuidad

Gestión de estrategias ante un posible evento de terremoto en Bogotá D.C.

Dependiendo de la magnitud del terremoto y el impacto que genere tanto en recurso humano, infraestructura tecnológica y física de precia, se activarán
las siguientes dos estrategias:

1. Hacer uso del Centro Alterno de Operaciones – CAO

2. Activar el trabajo remoto a través de VPN y servicios en la nube para los colaboradores.

Cabe aclarar que dichas estrategias se pueden activar de manera individual o conjunta.
Planes de Continuidad del Negocio

Definir los lineamientos y procedimientos que Definir los procedimientos que permitan
utiliza el negocio para verificar la operatividad mantener la continuidad de los servicios y
de los planes, con el propósito de garantizar la procesos prioritarios en caso de la ocurrencia
actualización periódica Plan de
de un evento de desastre o interrupción.
de los esquemas de recuperación. comunicación y
administración en
crisis

Minimizar las lesiones y pérdidas de Establecer los procedimientos que permitan

vidas humanas, y protección de las mantener la continuidad de la plataforma
instalaciones. tecnológica.

Establecer los procedimientos que utiliza el negocio

para comunicar interna y/o externamente incidentes
o eventos que puedan generar una crisis y que
afecta directamente a la entidad. Adicionalmente,
define las alertas para la activación y escalamiento
de una crisis o incidente.
Plan de Comunicación y Administración en Crisis

Alertas  La situación está amenazando de manera sistémica al Mercado de Valores. Es inminente que se superarán los límites de nivel de servicio
(RTO) con relación a los procesos misionales.

 Se ha presentado una situación de riesgo grave e inminente, en el cual la reputación de precia está altamente comprometida; bien sea por
Alerta Roja: un riesgo reputacional materializado por revelamiento al público de proceso legal, controversia, amonestación o derivado de un evento
operativo que genera una percepción negativa por parte de los clientes o insatisfacción por caídas en los sistemas y/o servicios
tecnológicos.

 La credibilidad, sostenibilidad y permanencia de precia en el mercado puede verse afectada.

 Se ha presentado un evento de carácter operativo producto del cual es posible que se incumplan los niveles de servicio pactados.

 Se ha presentado un evento de riesgo reputacional de carácter financiero que genera desconfianza en el mercado o divulgación de
Alerta Naranja: información confidencial de clientes, que representa un impacto sobre el buen nombre de la compañía y ha sido de conocimiento fuera
de precia.

 La situación amenaza la disponibilidad de los servicios del negocio afectando una o dos áreas misionales del negocio sin superar los
niveles de servicio establecidos (RTO).

 Se ve afectada la reputación por una atención inapropiada a Peticiones, Quejas y Reclamos (PQR´s) o por un excesivo tiempo de
Alerta Amarilla: respuesta a requerimientos.
 El evento puede ser atendido por los equipos involucrados mediante la activación de las estrategias de contingencias técnicas y/u
operativas definidas para tal fin.
 Se mantiene una situación de contingencia controlada.
Proceso de Administración en Crisis

Líder de Situación Líder de Gestión de Crisis Equipo de Gestión de Crisis Equipo de Crisis

Revisar las estrategias 1. Analizar la situación y

1. Realizar el reporte del 1. Declarar alerta naranja o
alternativas a recomendar al decidir sobre las
evento inmediatamente sea roja.
Líder de Crisis para estrategias a
descubierto.  
tratamiento de situación. implementar.
2. Realizar análisis 2. Convocar Comité de
preliminar del evento. Gestión de Crisis. 2. Realizar seguimiento y
3. Notificar al Líder de acompañamiento a la
Gestión de Crisis la implementación de la
gravedad de la situación. estrategia.
 Plan de Comunicación y Administración en Crisis
Estructura de Gobierno

Todos los colaboradores deben participar en la elaboración del Plan de Contingencia y Continuidad del Negocio, conocer sus roles respectivos dentro del
mismo y brindar la información requerida para su desarrollo y actualización permanente.
Plan de Recuperación de TI

AWS: Amazon Web Services

Infraestructura en Bogotá (20%)

Centro de Computo Principal - CCP: Colombia XV
Centro de Computo Alterno - CCA : Ortezal

Infraestructura en AWS (80%)

Centro de Computo Principal - CCP: US – AWS Zona
disponibilidad A (Virginia)
Centro de Computo Alterno - CCA : US – AWS Zona
disponibilidad A (Oregon)
Gestión de Incidentes de Seguridad

Incidente de Seguridad de la Información: Uno o una serie de eventos de seguridad de la información no deseados o inesperados que
tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información. Los incidentes
de seguridad se presentan por el mal uso de los recursos informáticos o por eventos que atenten contra la confidencialidad, integridad y
disponibilidad de la información.

 Detener el tráfico de direcciones IP inválidas.

Reporte del  Activar protección contra inundación de paquetes.
evento de  Limitar la tasa de tráfico de direcciones IP sospechosas.
seguridad Denegación de  
Servicio (DoS) Si el activo de información afectado corresponde a una aplicación web, se debe
considerar adicionalmente:
Seguimiento,  Redireccionar el registro del DNS a una página precargada o caché.
Registro de
lecciones Realizar análisis en profundidad en los recursos informáticos afectados con una
eventos de 
aprendidas y
seguridad herramienta de antivirus.
cierre
 Enviar alerta a toda la comunidad indicando desconfiar de correo, enlaces o
mensajes sospechosos.
Hijacking  Aislar el tráfico de red de los recursos informáticos afectados.
 Realizar un cambio de credenciales de todos los usuarios de los sistemas de
información accesibles por el recurso informático.
 Monitorear el tráfico de la red y tratar de identificar qué elemento está
interviniendo las comunicaciones.
 Recuperación del último respaldo disponible del activo de información
afectado.
Evaluación del  Realizar un aislamiento lógico del recurso informático afectado.
Recolección de
evento o  Escalar la recolección de evidencia al Modelo Nacional de Gestión de
evidencia
incidente Incidentes Cibernéticos.
 Contactar a un servicio de SOC.
Ransomware Enviar alerta a toda la comunidad indicando desconfiar de correo, enlaces o

mensajes sospechosos y de no pagar extorsiones.
 Acudir a servicios de desciframiento de ransomware online como
http://www.nomoreransom.org/.
 Monitorear el tráfico de los protocolos de uso compartido de archivos.
Estrategias de
Escalamiento y
Contención y
Comunicación
Erradicación
Cronograma de Pruebas de Continuidad

Para el 2021 se realizarán tres (3) pruebas generales:

2021
Plan de Pruebas
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre

Prueba General
   
   
   
       
   

Prueba Febrero Prueba Junio Prueba Septiembre

Fecha: Por definir (entre el 23 – 25 de febrero) Fecha: Por definir (entre el 9 – 24 de junio) Fecha: Por definir
 Alcance: Desde la simulación de la perdida en la Falla: Servicios críticos de TI y ejecución de procesos operativos.
administración de los servidores de la infraestructura en Escenario: Prueba integral con miembros del
nube hasta la normalización de los servicios. Comité de Crisis y Continuidad de Negocio del
Escenario: Indisponibilidad de la región principal de AWS. mercado de valores y divisas.
 
 Falla: Falla de los servicios críticos de TI. Procesos:
  Proceso:
• Renta Fija Local • Renta Fija Local
 Escenario: Falla en la zona de disponibilidad de AWS. • Renta Fija Internacional
  • Renta Variable Local, MILA y MGC
 Tecnología: Infraestructura de AWS precia (Optimus A, Estrategia: Activación del Protocolo de Crisis
• Derivados Energéticos del Mercado de Valores y Divisas.
Optimus B, Windows R y Linux R). • Derivados Financieros
  • Renta Variable Internacional
 Estrategia: Validar los grupos de autoescalamiento para • Derivados OTC
los servidores (Optimus A y Optimus B) y la capacidad de • Notas Estructuradas
operar de Windows R y Linux R para operar en otra zona • CVA/DVA
de disponibilidad.
Estrategia: Activación del DRP y ejecución de los procesos operativos
¡Gracias!