Sistema De Gestión de Continuidad Banco de la República
Johanna S. Gutiérrez C.
Directora de Gestión de Riesgos y Procesos
AGOSTO 2011
AGENDA
I. La Organización
II. Sistema de Gestión y Continuidad
III. Lecciones Aprendidas
IV. Retos
Mapa de Procesos
Comité de Riesgo Operativo y Continuidad
Dpto. de Gestión de Riesgos y Procesos
Gerente Ejecutivo
DGRP
Director
Líder Procesos
Ingenieros (3)
Líder Riesgos
Ingenieros (2)Estadística(1)
Líder SGC
Ingenieros (3)
Soporte Técnico
Gerente General
Subgerente General de Servicios Corporativos
D. General de Tecnología
Unidad de Soporte y
Continuidad
Ingenieros(4)
• Sistema de Gestión
Basada en Procesos
• Sistema de Gestión
de Continuida
d
• Sistema de Gestión de Riesgos
• Proveer S.G
• Asesorar y Facilitar la Implementación de S.G
• Monitorear S.G
Procesos
Dpto. de Gestión de Riesgos y Procesos
AGENDA
I. La Organización
II. Sistema de Gestión y Continuidad
III. Lecciones Aprendidas
IV. Retos
Sistema de Gestión de Continuidad
SGC
Marco de Referencia
Modelo
RecursosAdministración
Integración
Marco de Referencia •
• Consejo de Administración• Comité(CROC)• DGRP• Líderes por área• Empleados
GOBIERNO
• Responsabilidades• Alineación con la estrategia• Cumplimiento de objetivos• Alcance Toda la
organización
POLÍTICAS
• Objetivo• Resiliencia
organizacional• Critical Processes RTO < 1w • Support Processes – Crisis
OBJETIVOS Y ALCANCE
• SARO• DRII / BCI• BS25999• ISO 22301 (Borrador)
REGULACION &MEJORES
PRACTICAS
ModeloCultura organizacional
•
Entender la Organización
Definir Estrategias
Desarrollar e Implementar la Respuesta
Probar, Mantener y Revisar
Entender la Organización
• Revisión procesos críticos (Cada 5 years)
• Análisis Riesgo (Modelo BR)
• Revisión BIA (Cada 3 years )• Entrevista con lista de chequeo y último BIA
• Recovery Time Objective (RTO)• Entre 30 min. and 2 hs
• Recovery Point Objective (RPO)• Entre Datos en línea and a 6 hrs de retraso
• Recursos Mínimos Aceptables (MARC)• Determina nuevas estrategias ó actualización
Priorización – Análisis de Riesgo- BIA
Disaster Recovery Plan (IT)
• Recursos• Gente bien entrenada • Sitios Alternos• Tecnología• Procesos
• Estándares (ITIL Good Practice (Availability Management)• Documentados
• Principios• Prevención
• Proteger la infraestructura y la información (Fallas, Errores, Ataques and Desastres)
• Detección• Monitoreo periodico Minimizar impacto, reducir esfuerzo de recuperación,
preservar calidad en los servicios q se prestan.• Respuesta
• Define y se prueba• Recuperación
• Definida en prioridades de negocio y dependencias tecnológicas
Determinar Estrategias
Determinar Estrategias
Sitio Alterno1 – Bogotá
•Central de Efectivo•Distancia: 15 km•Replicación total•RTO Entre30 min. - 2hrs.•RPO 0~ On line (Synchronous)
•Mecanismos de TI: • Fibras ópticas• Clusters• Replicación SW / SAN Storage• Balanceo de carga
Disaster Recovery Plan (TI)
Sitio Alterno 2 – Barranquilla
•Sucursal•Distancia : 900 km•S.I Críticos y sus datos•RTO Entre 6hrs - 24hrs.• RPO Min 10 min. – 2 semana
• Mecanismos de TI• Enlace WAN• Replicación Asincrónica• Envío de cintas semanal
Determinar Estrategias
• Continuidad en la fuerza laboral
• Centro alternos de operación
Bogota (70 estaciones)B/quilla ( 25 estaciones)
• Acceso Remoto• Seguro / Práctico
• Continuidad Proveedores Críticos• Cláusulas Contractuales• Pruebas de sus planes con
nosotros
Plan de Continuidad de Negocio (BCP)
Procedimientos de Crisis
•Peores escenarios• Negocio• Administrativos• Tecnología
Estrategias Manuales
Determinar Estrategias
Determinar Estrategias
Plan de Continuidad de Negocio (BCP)• Recursos
• Gente bien entrenada • Sitios Alternos• Procesos probados y documentados
• Principios• Prevención
• Todos sabemos que hacer.• Detección
• Procedimientos claros para delegar y notificar• Respuesta
• Practicamos .. “qué hacer si…”• Recuperación
• Sitios bien dotados
Desarrollar e Implementar Respuesta
EscenariosMás probables ó Mayor Impacto
EstructuraDirectores de Emergencia (Edificación)Brigadas básicas y evacuación Red de comunicación (Avanteil / Celulares/ Radios)
Entrenamiento y Pruebas Ejercicios periódicos de evacuación
Trabajo con autoridades localesBomberos, policía, líneas de emergencia, FOPAE …
Sistema de Prevención y Atención de Emergencias
Desarrollar e Implementar Respuesta
Gestión de Crisis
• Estructura • Niveles de Alerta• Centros de Comando• Sala de Crisis
GOBIERNO
• Plan de Comunicación• Voceros entrenados• Web / PIC • Redes sociales
•Tw: @BancoRepublica•Fb: Banco de la Republica de Colombia
COMUNICACIÓN
• Notificación• Activación & Finalización• Logística• Excepción
PROCEDIMIENTOS
• Ejercicios notificados• Pruebas de escritorio• Pruebas generales
ENTRENAMIENTO
Estructura de gobierno para la crisis
Equipo de Gestión
Equipo de Alta Dirección
De C
oord
inació
nEstr
até
gic
oO
pera
tivo
Equipo deAsesoría Legal
Equipo de Comunicación
Equipo de Seguridad
UROC
Consejo de Administración
Gerente General
Gerente Ejecutivo
Gerente Técnico
Equipos Operativos Equipos de Apoyo
SPAE- BR Tecnología ServiciosNegocio Logístico FinanzasPlaneación
Transporte
Compras
Rec. Humanos
Documentación
Relac. Públicas
Legal
Contratación
Control
Planeación
Seguros
Pagos
Sub-equipoOperación
Sub-equipoLogística
Sub-equipoPlaneación
Sub-equipoFinanzas
Comandante
Alertas
Probar, Mantener y Revisar
• Capacidad
• Documentación
• Práctica de Roles
• Desarrollo de Habilidades
• Coordinación
• Reconocimiento
• Mejora continua
Probar
Publicar
Estrategia
Modificar
Documentar Planear
Ejecutar
Evaluar
Divulgar
Aum. complejidad• Horarios• Duración
PeriodicidadMediciónAborto
Probar, Mantener y Revisar
• El objetivo es actualizar y mejorar BCP’s, DRP y ERP
• Revisar cambios en : Organización, procesos ,políticas,
personas, tecnología, etc.
• Establecer actividades para mejorar
• Programar con responsables
• De no haber cambios Anualmente se revisa
Revisar y Mantener
Crear Cultura de Continuidad
Cultura
• Sensibilización• Necesitamos una organización que crea…
• Entrenamiento• Comunicación
• Escritorio
• Semana de capacitación
• Experiencia• Permite transformar Información Conocimiento
• Probar Inesperado
Motivar e Inspirar
conductas deseadas:
• Actituc
• Valores
• Comportamiento
s
Recursos •
• Sitios Alternos• Centros de Comando• Salas de Crisis• Bóvedas alternas
INFRAESTRUCTURA
• Para divulgar el SGC• Para evaluar las pruebas• Para notificar• Para comunicar durante eventos• Para administrar acciones de
mejora• Para medir
HERRAMIENTAS
• Líderes• Brigadas• Empleados• Alta Gerencia
GENTE
Administración
Planear Hacer
Actuar Verificar
• Alienar con Estrategia Corporativa
• Cómo llego a la meta• Estrategia
• Modelo• Procesos• Indicadores• Cultura
• Implementar
• Mejoramiento SGC• Incremento Nivel de Madurez
•
• Seguimiento• Planes• Indicadores• Gente
Verificar •
BCMM Virtual Corp. Maturity Model
• Liderazgo
• Conciencia
• Estructura
• Penetración
• Métricas
• Recursos
• Coordinación
• Contenido
• Compromiso• Entendimien
to • Promoción
• Conocimiento
• Aplicabilidad• Valoración
• Alcance• Calidad
• Integración• Disponibilidad
• Relacional
• Estrategias acordes al interés organizacional
• Monitoreo
Integracion •
• Socios de Negocio• Gobierno• Otras entidades de
apoyo• Proveedores
• Integración de SGC
• BR• Asobancaria• Bomberos• Fopae• Ejército• Gobierno
EXTERNA
• SGC entre áreas
• Seguridad
• Respuesta a emergencia
• Tecnología y áreas de operación
INTERNA
AGENDA
I. La Organización
II. Sistema de Gestión y Continuidad
III. Lecciones Aprendidas
IV. Retos
LECCIONES APRENDIDAS
• No empiece por la tecnología sin involucrar áreas de operación.
• Si su plan no incluye a sus proveedores y socios de negocio su SGC fallará inevitablemente.
• Mantenga un plan de pruebas retador, dirigido a escenarios reales
• Generar cultura de continuidad a través de la experiencia.
LECCIONES APRENDIDAS
• SGC no es un destino, es un caminar permanente. • La improvisación es la reina, las cosas jamás saldrán exactamente como las planeó Está preparado…
• Factores Críticos:
• Hágalo Simple !!!• Probar demasiado nunca será suficiente• Personas
• Promueva creatividad e innovación• Mantenga la motivación Creando conciencia
• Report e a la Alta Dirección• Nivel de Madurez• Indicadores
LECCIONES APRENDIDAS
• Otros Beneficios Organizacionales
• Desarrollo de Habilidades:• Adaptabilidad• Improvisación• Delegación• Coordinación• Negociación
• Crea• Imagen Positiva• Plan de Sucesión• Respuesta efectiva de proveedores• Protege la reputación• Confianza• Prevención y preparación se institucionalizan
AGENDA
I. La Organización
II. Sistema de Gestión y Continuidad
III. Lecciones Aprendidas
IV. Retos
RETOS
• Integración total entre el SGR y SGC
• Centros Alternos usados en tiempo real
• Procesos críticos con planes de continuidad
• Alta dirección participando en pruebas de tiempo real
• Integración interna y externa
• Garantizar la cadena de abastecimiento en las pruebas
RETOS
• SGC como un factor de sostenibilidad
Producción
Medio AmbienteSocial
Eficiencia e Innovación
Soporte a la Comunidad
Respuesta a Emergencias