Gestin de continuidad de negocios

Febrero 2013

Visin de estratgica
Poltica del SGCN

Visin
Evolucin

Objetivos
Principales definiciones

Gobierno corporativo
Anlisis de Impacto en el
negocio (BIA)
Estrategias

Prevencin, Contencin, recuperacin

Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad

Auditorias y revisiones
especficas

BSI, KPMG, Comit de vigilancia

Alta Administracin (Comit de gestin) y Partcipes

Programa de pruebas y
ejercicios

Programa 2011 y 2012

Cumplimiento de las pruebas y ejercicios

Programa de
capacitacin
2

Gestin de Continuidad de Negocios. Visin de continuidad

Visin
La Continuidad Operacional es un eje Estratgico para el desarrollo de la compaa.

El DCV se ha planteado como meta ser el ltimo componente del sistema financiero en dejar de
operar y el primero en recuperarse, cualquiera sea el incidente o catstrofe.
Proteger la vida e integridad fsica de los Colaboradores de la empresa y de las personas que se
encuentran presente en nuestras dependencias al momento de la ocurrencia de un evento
adverso.
Gestin de Riesgo Operacional
Sistema de Gestin de Continuidad de Negocios
SGCN

Probabilidad

BCP

DRPCMP

Riesgos Probables
Impacto normal

Impacto

Riesgo poco probables con impacto alto

Gestin de Continuidad de Negocios. Evolucin del DCV y la GCN

Evolucin DCV
Evolucin GCN

Creacin
DCV Registros

Plan
Y2K

Custodia y
Registro de
transacciones IRV
Custodia y
Registro de
transacciones IIF
Custodia y
Registro de
transacciones IRF

Creacin del
DCV

Plan de
Contingencia para
todos los recursos y
prestaciones crticas
Pruebas de
procedimientos
de contingencia

Inicio de
esfuerzos hacia
la continuidad
operacional

Desmaterializacin
DVP,
Operaciones FLI
Nueva
metodologa
Plan de Continuidad de Actualizacin
Negocios (BCP).
y Mantencin
Se crea la funcin.
del BCP

Cmara de
Compensacin
Intrada
Se
publica
Norma
BS 25999

Reformulacin hacia un SGCN

Se trasladan los Sitios de
Produccin a TIER III.
Separacin de oficinas en dos edificios.
Se incorpora
DRP+CMP
Sitio en EEUU
Plan de trabajo en funcin
de la norma BS25999

ACSDA Leadership
Forum (ALF)
SADE Web
Acuerdo con DTCC
Euroclear
Forward
Mila
Certificado de
posicin
electrnico

Visin de estratgica
Poltica del SGCN

Visin
Evolucin

Objetivos
Principales definiciones

Gobierno corporativo
Anlisis de Impacto en el
negocio (BIA)
Estrategias

Prevencin, Contencin, recuperacin

Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad

Auditorias y revisiones
especficas

BSI, KPMG, Comit de vigilancia

Alta Administracin (Comit de gestin) y Partcipes

Programa de pruebas y
ejercicios

Programa 2011 y 2012

Cumplimiento de las pruebas y ejercicios

Programa de
capacitacin
5

Gestin de Continuidad de Negocios. Poltica del SGCN

Objetivos
Estructurar un marco formal de trabajo con el fin de garantizar la disponibilidad de los procesos
crticos y el cumplimiento de las regulaciones gubernamentales y contractuales que norman los
servicios otorgados por el DCV.

Entregar directrices de los principales roles y responsabilidades, de la gestin de continuidad de

negocios.
Entregar los lineamientos necesarios para la aplicacin del programa y la gestin de continuidad
de negocios, en funcin de asegurar la recuperacin de los servicios crticos del DCV,
resguardando la proteccin y seguridad de las personas, activos y procesos crticos de negocios.

Gestin de Continuidad de Negocios. Poltica del SGCN

Principales definiciones
El DCV deber resguardar la seguridad e integridad de todas las personas que se encuentren en
las dependencias del DCV, as tambin de aquellos colaboradores internos que, estando fuera de
las dependencias de la empresa, se encuentren prestndole servicios.
La gestin de continuidad de negocios se debe alinear a las directrices y exigencias propias del
cumplimiento de las normativas vigentes, y bajo el marco gua del estndar BS 25999.
Las materias de continuidad deben ser divulgadas e incorporadas dentro de la cultura del DCV,
con el objetivo de mantener al personal informado y capacitado.
Se deber contar con un Programa Anual de Continuidad de Negocio el cual establezca
actividades de planeacin, implementacin, revisin y actualizacin de los anlisis de impacto en
el negocio, planes y procedimientos, ejecucin de pruebas y otras materias relacionadas.

Visin de estratgica
Poltica del SGCN

Visin
Evolucin

Objetivos
Principales definiciones

Gobierno corporativo
Anlisis de Impacto en el
negocio (BIA)
Estrategias

Prevencin, Contencin, recuperacin

Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad

Auditorias y revisiones
especficas

BSI, KPMG, Comit de vigilancia

Alta Administracin (Comit de gestin) y Partcipes

Programa de pruebas y
ejercicios

Programa 2011 y 2012

Cumplimiento de las pruebas y ejercicios

Programa de
capacitacin
8

Gestin de Continuidad de Negocios. Gobierno corporativo

Directorio
Gestin de Riesgo
Comit TI

Comit Auditora y
Riesgo

Seguridad de
Informacin

Riesgo
Operacional

Continuidad de
Negocios

Estructura organizacional y funcional

Recuperacin ante
Desastres y
Manejo de Crisis

Plan de Continuidad
Operacional
Dueos de
Procesos

Comits de Emergencia

Vocero

Comit de Recuperacin de
Instalaciones (CRI)

Comit de Manejo de Crisis

(CMC)

Comit de Apoyo
Personal (CAP)

Comit de Recuperacin
TICs (CRT)

Comit de Comunicacin
Estndar (CCE)

Visin de estratgica
Poltica del SGCN

Visin
Evolucin

Objetivos
Principales definiciones

Gobierno corporativo
Anlisis de Impacto en el
negocio (BIA)
Estrategias

Prevencin, Contencin, recuperacin

Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad

Auditorias y revisiones
especficas

BSI, KPMG, Comit de vigilancia

Alta Administracin (Comit de gestin) y Partcipes

Programa de pruebas y
ejercicios

Programa 2011 y 2012

Cumplimiento de las pruebas y ejercicios

Programa de
capacitacin
10

Gestin de Continuidad de Negocios. Anlisis de impacto en el negocio (BIA)

Resumen del BIA
Identificacin de procesos
crticos de negocio.

Identificacin de escenarios que impactan

al negocio, como peligro a la integridad de los

(Prioridad, tiempos objetivos,

frecuencias, dependencia de
componentes).

colaboradores, a la continuidad de los procesos

crticos y cumplimientos normativos.

Proceso

Registro Central de Emisiones

Administracin de RRHH
Control de Ingresos y pagos
Custodia
Conciliacin y Rendicin a Emisores

Sub-Proceso

Imagen
3,2
2,4
2,8
4
3,2

Inscripcin y Registro Valores

Desvinculacin
Cobro y Administracin de Ingresos
Depsito desmaterial con archivos
Rendicin de Dividendo

BIA

Nivel de criticidad de componentes

Financiero Normativo Impacto Inherente
3,2
3,2
alto
2,4
2,4
moderado
2,8
2,8
alto
4
4
extremo
3,2
3,2
alto

Identificacin de componentes

Identificacin de amenazas.

(Criticidad, Clasificacin: edificaciones, RRHH, TI)

(Clasificacin: naturales, de RRHH, TICs, etc)

Actividades en funcin del tiempo

Proceso
Tra ns ferenci a

Subproceso
Tra ns ferenci a s ente
Depos i tante

RTO
Dueo del Subproceso
(horas)
2

Mi rna Fern ndez

Tra ns ferenci a

Tra s pa s o entre Cuentas

de depos i tante

Mi rna Fern ndez

Tes orera Interna ci ona l

Compra

Mi rna Fern ndez

Cus todi a

Col oca ci n de CFM 2 a l 8

Mi rna Fern ndez

0 -15 minutos

15 - 30 minutos

30 - 60 minutos

60 - 90 minutos

90 - 120 minutos

2 - 4 horas

Medi o

Al to

Muy Al to

Medi o

Al to

Muy Al to

Frente a cua l qui er i nci dente

o contingenci a l a a cci n a
s egui r es notifi ca r a l a MAU

Ins i gni fi ca nte

Mayor a 24 horas

La MAU reporta el evento de i nterrupci n a l ges tor de i nci dentes , qui en va l i da y eva l a s i corres ponde a un IOC, en tal ca s o, notifi ca a l CMC y otra s pa rtes
i nteres a da s y a ctiva el Pl a n de Acci n res pectivo.

Ins i gni fi ca nte

Frente a cua l qui er i nci dente
o contingenci a l a a cci n a
s egui r es notifi ca r a l a MAU

4 - 24 horas

Al to

Muy Al to

La MAU reporta el evento de i nterrupci n a l ges tor de i nci dentes , qui en va l i da y eva l a s i corres ponde a un IOC, en tal ca s o, notifi ca a l CMC y otra s pa rtes
i nteres a da s y a ctiva el Pl a n de Acci n res pectivo.
Medi o

Frente a cua l qui er i nci dente o contingenci a l a

a cci n a s egui r es notifi ca r a l a MAU

Al to

Muy Al to

La MAU reporta el evento de i nterrupci n a l ges tor de i nci dentes , qui en va l i da y eva l a s i corres ponde a un IOC, en tal ca s o, notifi ca
a l CMC y otra s pa rtes i nteres a da s y a ctiva el Pl a n de Acci n res pectivo.

11

Visin de estratgica
Poltica del SGCN

Visin
Evolucin

Objetivos
Principales definiciones

Gobierno corporativo
Anlisis de Impacto en el
negocio (BIA)
Estrategias

Prevencin, Contencin, recuperacin

Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad

Auditorias y revisiones
especficas

BSI, KPMG, Comit de vigilancia

Alta Administracin (Comit de gestin) y Partcipes

Programa de pruebas y
ejercicios

Programa 2011 y 2012

Cumplimiento de las pruebas y ejercicios

Programa de
capacitacin
12

Gestin de Continuidad de Negocios. Estrategias

Estrategia de
recuperacin
(acciones)

Procedimientos de continuidad
Plan de Recuperacin ante
Desastres
Plan de Manejo de Crisis

Estrategia de
contencin
(impacto)
Personas. Proteger las habilidades y conocimientos.
Beneficios, Sucesin ejecutivos, duplicidad de
Funciones claves.
Instalaciones. Reducir el impacto de no disponibilidad.
Sitio administrativo alternativo, grupo electrgeno,
teletrabajo.
Tecnologa. Salvaguardar o restablecer la
infraestructura TI.
Redundancia tecnolgica, respaldos de informacin,
registros vitales.
Proveedores. Inventario de proveedores que apoyan
las actividades.
Identificacin de proveedores crticos, clusulas en
los contratos.

La
compaa
define
factores tanto del mbito
externo, relacionados con
proveedores y servicios
bsicos, como para los
recursos internos de
edificaciones,
infraestructura
TI
y
personas, que puedan
afectar
los
servicios
crticos.

Estrategia de
prevencin
(probabilidad)
Gestin de riesgo
Gestin de capacidad
Gestin de incidentes
Gestin de problemas
Sistema de gestin de
continuidad de negocios

13

Gestin de Continuidad de Negocios. Estrategias

Tiempos objetivos del negocio
El DCV se ha planteado
como meta ser el ltimo
componente del sistema
financiero en dejar de
operar y el primero en
recuperarse, cualquiera
sea el incidente o
catstrofe.

Punto objetivo de recuperacin (RPO) para los servicios crticos es de treinta segundos.
Tiempo Objetivo de Recuperacin (RTO) para los servicios crticos del DCV es de dos horas.
Mximo Perodo de Interrupcin Tolerable (MTPD) tiende a ser de veinticuatro horas.

14

Gestin de Continuidad de Negocios. Estrategias

Medidas de continuidad

Aspectos Operacionales
Respaldo oficinas administrativas. Edificios (Burgos-Hurfanos).
Toda funcin crtica debe estar duplicada. Respaldo de RRHH.

Aspectos Tecnolgicos

Componentes duplicados

Procedimientos del Plan de continuidad

Las prestaciones ofrecidas por el

DCV a sus usuarios no se
conciben sin la disponibilidad de
los sistemas computacionales
construidos para ello.
Dado el volumen y riesgo
involucrado.

RRHH

Burgos

Hurfanos

Oficinas

TI

Prod. 1

Prod. 2

Sitios

Distribucin de sitios de produccin hacia housing categora TIER III.

Todo componente crtico debe estar duplicado.

15

Visin de estratgica
Poltica del SGCN

Visin
Evolucin

Objetivos
Principales definiciones

Gobierno corporativo
Anlisis de Impacto en el
negocio (BIA)
Estrategias

Prevencin, Contencin, recuperacin

Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad

Auditorias y revisiones
especficas

BSI, KPMG, Comit de vigilancia

Alta Administracin (Comit de gestin) y Partcipes

Programa de pruebas y
ejercicios

Programa 2011 y 2012

Cumplimiento de las pruebas y ejercicios

Programa de
capacitacin
16

Gestin de Continuidad de Negocios. Auditorias y revisiones

Auditorias
externas

Revisiones
especficas

Auditoria BSI

Alta Administracin

Fecha de ejecucin jul 2012

Objetivo: Revisin de Planeacin y diseo
Fecha de ejecucin: oct 2012.
Objetivo: Implementacin eficacia y eficiencia
del SGCN.

Fecha de ejecucin ago. y dic. 2013.

Objetivo: Revisin de los principales hitos del
SGCN.

Auditora KPMG

Partcipes

Fecha de ejecucin: nov. 2012 y nov. 2013

Objetivo: Implementacin eficacia y eficiencia
del SGCN.

Fecha de ejecucin: durante el ao

Objetivo: cumplimiento de la norma 2020.

Cada uno de los

entregables y el plan
de accin del DCV, es
informacin
con
clasificacin interna.

Auditoria Comit de Vigilancia

Fecha de ejecucin: sep. 2013
Objetivo: Implementacin eficacia y eficiencia
del SGCN.

Lnea de tiempo de auditorias y revisiones

Auditoria
BSI

2012
JUL

Auditoria
BSI

AGO
Revisin del
Comit de
Gestin

OCT

NOV
Auditoria
Interna Comit
de Vigilancia

Revisin BSI

DIC
Auditoria
Interna
KPMG

2013
ENE
Revisin del
Comit de
Gestin

17

17

Visin de estratgica
Poltica del SGCN

Visin
Evolucin

Objetivos
Principales definiciones

Gobierno corporativo
Anlisis de Impacto en el
negocio (BIA)
Estrategias

Prevencin, Contencin, recuperacin

Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad

Auditorias y revisiones
especficas

BSI, KPMG, Comit de vigilancia

Alta Administracin (Comit de gestin) y Partcipes

Programa de pruebas y
ejercicios

Programa 2011 y 2012

Cumplimiento de las pruebas y ejercicios

Programa de
capacitacin
18

Gestin de Continuidad de Negocios. Programa de pruebas 2011

Se presenta la evolucin del cumplimiento del programa de pruebas del Plan de Continuidad de Negocios del ao
2011, junto a las pruebas mas significativas y las desviaciones.
Cumplimiento del Programa Presupuestado v/s Real
100%
100%
93%

Dic
Nov

66%

Oct
Sep

68%

46%

Ago
Jul

29%

Jun

28%

May
Abr

7%
7%
7%

Mar

15%
15%

0%

100%

Nov
55%

May

71%

28%

72%

15%

85%

Abr

7%

93%

Mar

7%

93%

Nuevo programa de pruebas 2012

20%

40%

60%

80%

64%

29%

Jun

22%

54%

36%

Jul

35%

45%

46%

Ago

46%

34%

66%

Sep

53%

36%

Dic

Oct

85%

55%

Evolucin del Cumplimiento del Programa

100%

20%
40%
100%
En busca del
mejoramiento
continuo
SGCN y sobre la base de0%las recomendaciones
de la 60%
norma se80%
reformula
el
Cumplimiento
Real
Programadel
Presupuestado

programa de prueba hacia un programa de ejercicios.

Cubierto

No Cubierto

Se considera
para este aodel
2012;programa.
la Alternancia de los Sitios de Produccin,
ejercicios de evacuacin
y una
Desviaciones
Pruebaslossignificativas
realizadas.
prueba
active distintas
de forma independiente
Uso que
de Oficinas
alternativas.respuestas
Prueba complementaria
debido a
(DRP+CMP)
Alternancia de.Sitios de Produccin.
remodelacin.
Respaldo de Energa elctrica. Prueba complementaria debido a
remodelacin
Cumplimiento a dic 2011

Plan de Recuperacin ante Desastres y Manejo de Crisis.

Plan de evacuacin Burgos.
Controles ambientales y de prevencin.
Operaciones de Clientes en Dependencia DCV

19

Gestin de Continuidad de Negocios. Resultados de los ejercicios

Ejercicios 2012
Alternancia de Sitios de Produccin.
Evacuacin de Dependencias
DRP+CMP

Los objetivos, resultados y

desviaciones
estn
clasificados
como
informacin
de
uso
interno

20

Visin de estratgica
Poltica del SGCN

Visin
Evolucin

Objetivos
Principales definiciones

Gobierno corporativo
Anlisis de Impacto en el
negocio (BIA)
Estrategias

Prevencin, Contencin, recuperacin

Tiempos objetivos del negocio (RPO, RTO, MTPD)
Medidas de continuidad

Auditorias y revisiones
especficas

BSI, KPMG, Comit de vigilancia

Alta Administracin (Comit de gestin) y Partcipes

Programa de pruebas y
ejercicios

Programa 2011 y 2012

Cumplimiento de las pruebas y ejercicios

Programa de
capacitacin
21

Gestin de Continuidad de Negocios. Programa de entrenamiento

Cumplimiento del programa
Cursos
Relevar el nivel de desarrollo de las competencias globales
Entrevistas
individuales

Encuesta de estilo
de preferencias

Mayo

Alineamiento

Mayo

100%

90%

80%

Comit de
emergencias

Personal
crtico

Lderes de
piso

15% del personal

18% del personal

9% del personal

Sensibilizacin BS25999
Comprensin

Capacitacin y sensibilizacin BS25999

Conocimientos

Pruebas de
conocimientos

Mayo

Entrenamiento
Liderazgo de
emergencias

Psicoprevencin

Tcnicas seguridad
del trabajo

Sep - Nov

a
a
22

Gestin de continuidad de negocios

Febrero 2013

Gestin de Continuidad de Negocios. Control de cambio documental

Bitcora de Mantencin
Versin
Anterior

Fecha de
Actual.

Motivo

Descripcin del Cambio

Realizado por

N/A

11-feb2013

Creacin de Documento nace como objetivo de presentar los principales hitos del
Andr Medel
documento
SGCN

14-feb2013

Revisin
aprobacin

24

c-info-0134-gfp-rop-20130214-01

y Se revisa y corrigen temas menores. Se enva para publicacin en el Claudio Herrera

portal web
y Andr Medel