Date post: | 31-Dec-2014 |
Category: |
Documents |
Upload: | maresol-cartaya |
View: | 2 times |
Download: | 0 times |
Peace of Mind
Panel: El Riesgo Operacional y su apropiada administración.
Continuidad del Negocio - PCN(Business Continuity Management – BCM)
DECEVAL S.A
LA GARANTIA DE UN NEGOCIO CONTINUO
ACSDA – VIII Asamblea Anual
Preparado por: Jorge Hernán Jaramillo Ossa Presidente DECEVAL S.A. El Salvador : 30 de Marzo de 2006
Pág 2
El interés creciente por el manejo del riesgo operacional
Crisis Financieras
Administración del Riesgo operacional -Continuidad integral
de los negocios
CrisisReputacional“Pérdida de Confianza”
ImpactoEconómico
Impacto en la Infraestructura del
mercado
Impacto en Otros Mercados
Globalización
ImpactoSistémico -Colapso del
Mercado
Pág 3
Quienes tienen un interés principal por esta temática ?
Grupo de los 30
RecomendacionesSobre Administración
Del riesgo Operacional
ISSA
Autoridades locales
Asociaciones De la
Industria
Basilea II
IOSCO-CPSS
Pág 4
Estratégico
Operacional
Procesos deSoporte
InternosEstratégicos
Operacionales
Criterios deaceptación
Probabilidad ocurrencia
Efectos/impacto
Aceptar el riesgo
Controlarlo
Transferirlo
Efectividad
Potencialidad
Control
ExternosPolíticos – RegulatoriosAmbientales/naturales
TecnológicosEconómicos/mercado
El Control y mitigación del riesgo operacional
Identifique los Principales Objetivos,
procesos y recursos de
negocio
Identifiquelos
riesgos
Analice yEvalúe
Los riesgos
Determine, diseñe e implemente Medidas de Mitigación y control
Monitoree
y Revise de manera permanente
Pág 5
El proceso de contingencia de negocios
Identifique los Principales Objetivos,
procesos y recursos de
negocio
Desarrolle un Análisis de Impacto de
negocio
Determine las
estrategias y acciones
de continuidad
Implemente las acciones y medidas
de continuidad
Prueba
y Mantenimiento
del plan
Estratégico
Operacional
Procesos deSoporte
Determinación del MAO y continuidadDe procesos críticos
Sistemas alternos y Redundantes, backup
Y recuperación
Reducir la exposición,Impacto y pérdida deRecursos y procesos
Procesos de backup
Administración De los datos
y registros
Acuerdos con Entidades ExternasManejo continuidad
Sistemático
Robusto yplaneado
Recursos yCompromisoClasifique por
importancia
ImpactoOperacional
ImpactoFinanciero
RiesgosOperacionales
Riesgosfinancieros
Gente, infraestructura,Telecomunicaciones,Sist. De Informaciòn
Pág 7
PCN – No es un documento, es un proceso de negocio en DECEVAL S.A.
Planificación de Recuperación de
Instalaciones
Business Continuity
Management
Compromiso de la Alta Gerencia
Planificaciónde la Continuidad
del Negocio
Planificacióndel Sitio Alterno
de Trabajo
Planificaciónde Recursos
Humanos
Planificación de la Recuperaciónde la Tecnología
Planificacióndel Manejo
de Crisis
Respuesta a emergencia y restauración de
instalaciones
Restauración de los Procesos
críticos
Reubicación del personal
Personal Crítico
Restauración de las Aplicaciones
críticas
Administración y Manejo de Crisis
Fuente: Business Continuity Institute (BCI)
Pág 8
Pilares del PCN - BCM en DECEVAL
Compromiso de la alta dirección y del mercado
Gerencia de Riesgos y Administración de incidentes
Desarrollo de la estrategia de negocio y reconocimiento de la importancia del Depósito en los procesos del mercado
Disminución del tiempo de recuperación de los procesos críticos de negocio
Capacitación y entrenamiento para asumir la contingenciaInterna y Externa
Pág 9
Mapa de procesos Críticos
CONTINGENCIA
Solicitud deInformación del
Sistema de Saldoso del Sistema de
Referencias
Cliente
Custodia deValores
Análisis deValores
AdministraciónCustodio
Internacional
Ejercicio de Derechos
Patrimonialesy Sociales
Administraciónde Emisiones
Desmaterializadas
Administraciónde Cuentas
para Admón. Valoresy CYL
OperacionesEntrega contra
Pago
Administraciónde hardwarey software
Mantenimiento yActualización del
Sistema de Saldos
Administraciónde la Base de
Datos
01 A
02 B
04 B
05 B
03 B
06 B
07 B
08 B9 B
10 B
11 B
12 B
Pág 10
CONTINGENCIA
SoporteTécnico Telecomunicaciones
Cierre deOperaciones
Administración de Seguridad
de Riesgo Físico
Gastos
Compras Administración de
Activos, Suministrose Instalaciones
Correspondencia
Nómina
13 B
15 B
14 B
16 B
17 B
18 B
19 B
20 B
21 B
Auditoría
22 B
Sistemas de Soporte
Pág 11
Metodología PR4
RRECUPERACIONECUPERACION
RREANUDACIONEANUDACION
RRESPUESTAESPUESTA
PPREVENCIONREVENCION
RRESTAURACIONESTAURACION Reparar/Restaurar facilidades y contenidos“Regreso a casa”
Recuperar Todas las Demás Operaciones
Reanudar las Operaciones Sensibles alTiempo en la Localidad Alterna
Manejo de Crisis Contener el DañoActivar Organización de Recuperación
Protección de los Activos CorporativosManejo de riesgos
PR4
Pág 12
El antes, el durante y el después
Prevención
Respuesta
Restauración
ANTES DURANTE DESPUES
PROCESOS
INSTALACIONES
Reanudación
Vuelta a la Normalidad
Recuperación Decisión
MetodologíaPR4
Pág 13
Sitios de respaldo en caso de contingencia total
Pág 14
Permite que el Depósito pueda funcionar humana y tecnológicamente respondiendo por la operatividad del mercado
Cuenta con 43 puestos de trabajo para atender las principales operaciones del negocio y a clientes.
10 de los cuales están destinados a nuestros clientes en caso de que ellos no puedan realizar sus operaciones en sus instalaciones.
SEDE ALTERNA OPERATIVA - S.A.O.SEDE ALTERNA OPERATIVA - S.A.O.
Pág 15
DATA CENTER – D.C. DATA CENTER – D.C. •Cuenta con la infraestructura para soportar el equipamiento y aplicaciones críticas del Depósito.
•Permite el enrutamiento de los clientes a un centro que cumpla con los elementos de hardware, software, seguridad y telecomunicaciones, enmarcados dentro de los requerimientos tecnológicos y operativos definidos por Deceval.
•Componentes físicos Seguridad física. Sistema anti-incendio. Sistema de climatización de ambiente. Energía eléctrica. Sala de trabajo. Desastre natural. Mantenimiento y soporte.
Pág 16
Centros de Contingencia
Pág 17
Otras medidas de protección
• Replicación de datos a centro alterno. • Backup de datos almacenado en custodio y centro alterno. • Sistemas críticos redundantes : comunicaciones, seguridad,
certificador digital • Configuración de todos los sistemas críticos guardados en sitio alterno• Documentos principales del negocio guardado en custodio y en centro
alterno. • Replica de todos los principales documentos del negocio : información
principal de clientes, tarjeta de firmas autorizadas, tarjeta de mensajeros
• Especificaciones técnicas de seguridad de hardware y software• Manual del plan de contingencia en el centro alterno. • Lista del recursos humano - Direcciones, teléfonos. • Sistemas críticos de operación en sede alterna operativa.
Pág 18
Nuestra Matriz de Riesgos: Evaluación del Business Impact Analysis - BIA
ESCENARIO DEFALLA O PÉRDIDA
CAUSAS EFECTOS I P R ACCIÓN CONTROL DE RIESGO
EVALUACIÓN DE RIESGOS
Describa el escenario a
analizarDescriba las causas que
puede generar el escenario de
falla Describa los efectos que
derivan de las causas
Describa la acción inmediata a realizar
una vez se presenta el evento
Describa los tipos de controles que considera para
mitigar dicho riesgo
Califique el impacto, la probabilidad y el riesgo de ocurrencia según las
definiciones previamente dadas.
EVALUACION DEL Business Impact Analysis - BIA
Pág 19
Nuestra Matriz de Riesgos EVALUACION DEL BIA
Unidad de negocio: Informática - Hardware Fecha: 26-Dic-05
ESCENARIO DEFALLA O PÉRDIDA
CAUSAS EFECTOSP I R ACCIÓN CONTROL DE RIESGO
1. Servidores - Deceval
Error humano
Labor preventiva
Daño físico en componentes
Medio ambiente no adecuado enel centro de cómputo
Picos de potencia
Servidores Producción - DañoServidor SUN Deceval_2
Error humano / Labor preventiva/ Daño Físico en componentes /Medio ambiente no adecuado enel centro de cómputo / Picos depotencia
Los clientes externos e internos que accesan al SI ID por este servidor quedan sin servicio del SI ID / La base de datos de trabajo de uso interno que utiliza el operador queda fuera de línea.
A M B
Verificar estado de la consola yposibles mensajes de error; si elequipo se encuentra fuera deservicio Trasladar todos los servicios decluster y sistema de informacional Deceval_1, Contactar alproveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.
Monitoreo diario y laborespreventivas / BackupsActualizados
Servidores Producción - DañoServidor SUN Deceval_1 yDeceval_2
Error humano / Labor preventiva/ Daño Físico en componentes /Medio ambiente no adecuado enel centro de cómputo / Picos depotencia
Se dispara la contingencia y la operación del depósito se debe trasladar al SAO y al Datacenter.
A A A
Activar el sitio contingente (Basede Datos y Forte) / Seredireccionan los clientes al sitede contingencia para que seconecten al servidor contingente,Contactar al proveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.
Monitoreo diario y laborespreventivas / BackupsActualizados
Los clientes externos e internos que accesan al SI ID por este servidor quedan sin servicio del SI ID / El rendimiento del SI ID se ve mermado por estar funcionando al 50% de la capacidad
Servidores Producción - Daño Servidor SUN Deceval_1
Verificar estado de la consola yposibles mensajes de error; si elequipo se encuentra fuera deservicio Trasladar todos los servicios decluster y sistema de informacional Deceval_2, Contactar alproveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.
A M M
Monitoreo diario y laborespreventivas / BackupsActualizados
Pág 20
¿Cuál quiere usted que sea su expresión la próxima vez que ocurra un desastre?
Pág 21
¿Cuál quiere usted que sea su expresión la próxima vez que ocurra un desastre?
La organización debe estar preparada en los aspectos más importantes:
TECNOLOGIAORGANICE EL GRUPO HUMANO
CAPACITACION IMPLEMENTE LAS ESTRATEGIASPROBAR – PROBAR Y PROBAR
Pág 22
Equipo de Auditoria
Equipo de OperacionesEquipo Financiero y Administrativo
Equipo de Apoyo Logístico
Equipo de Informática y
Tecnología
Equipo de Contingencia
Equipo de Gestión
Equipo de manejo de crisis
Organigrama DECEVAL S.A. BCM
Pág 23
Pruebas del plan de continuidad
Para el año 2006 Deceval realizará 4 pruebas del plan de continuidad de negocios con el fin de validar los cuatro grupos de estrategias definidos:
• Estrategias preventivas• Estrategias de recuperación• Estrategias de restauración• Estrategias de manejo de crisis
En la ejecución de un plan de pruebas principalmente se deberá:
• Probar el plan de evacuación.• Probar los sistemas de alerta.• Probar conectividad y telecomunicaciones.• Probar el desempeño de los equipos de respaldo destinados para
atender la contingencia.• Monitorear el porcentaje de uso de los equipos, dispositivos de red y
canales de comunicación.
Pág 24
Pruebas del plan de continuidad
• Probar la habilidad de acceder a registros y recursos vitales, sistemas o software para el manejo de datos y equipos.
• Probar el desempeño del sistema en ambiente contingente.• Probar los procesos definidos para atender la contingencia.• Validar tiempos de desplazamiento y por actividad.• Probar los tiempos objetivo de recuperación.• Probar los puntos objetivo de recuperación.• Probar el conocimiento del plan de continuidad de los colaboradores.• Probar otros sistemas como S.E.B.R.A., Bancolombia Tidis, Alterno Tidis,
Creation Online
“LA META DE PROBAR Y EJERCITAR EL PLAN DE CONTINUIDAD DE NEGOCIO NO ES ENCONTRAR SI FUNCIONA, SI NO DEMOSTRAR QUE ESTAMOS PREPARADOS PARA LAS
CONTINGENCIAS TOTALES O PARCIALES.”
RECUERDA QUE EL RECURSO HUMANO ES MUY IMPORTANTE