AGENDA 1.EnfoquemetodolgicodelaGestindeContinuidad 2.AnlisisdeImpactoalNegocio(BIA) 3.MetodologadeAnlisisdeImpactoalNegocio(BIA) 4.ConceptosbsicosBIA 5.Aspectoscrticosdexito 6.Prximospasos 7.Casoprctico Sobre la presentacin 1 PresentarunenfoquedelagestindeContinuidaddelNegocio,ylosconceptos clavesdelAnlisisdeImpactoenelNegocio. PresentarunenfoquedelagestindeContinuidaddelNegocio,ylosconceptos clavesdelAnlisisdeImpactoenelNegocio. 2 Presentarlametodologadetrabajoaseguirparaeldesarrollodelostalleres delAnlisisdeImpactoenelnegocio(BIA). Presentarlametodologadetrabajoaseguirparaeldesarrollodelostalleres delAnlisisdeImpactoenelnegocio(BIA). 3 Presentaruncasoprcticoylosaspectoscrticosdexito. Presentaruncasoprcticoylosaspectoscrticosdexito. Objetivo: 1. Gestin del Programa GCN 2. Entender la Organizacin 4. Desarrollar e Implementar la respuesta del GCN 5. Probar, Mantener y Revisar 3. Establecer la estrategia GCN CiclodelaGestindeContinuidaddelNegocio. AlineadoalEstndarBritnicoBS25999,CircularGN139S.B.S EnfoquemetodolgicodelaGestindeContinuidadenBanBif 2.1AnlisisdeImpactoalNegocio(BIA). 2.1AnlisisdeImpactoalNegocio(BIA). 2.2EvaluacindeRiesgosde Continuidad. 2.2EvaluacindeRiesgosde Continuidad. AnlisisdeImpactoalNegocio(BIA) Identificarelimpactoquetendraunainterrupcindelosprocesosque soportanlosprincipalesproductosyserviciosdelBanco. Identificarelimpactoquetendraunainterrupcindelosprocesosque soportanlosprincipalesproductosyserviciosdelBanco. Culeselobjetivo delBIA? AtravsdetalleresconlosGestoresdeRiesgoypersonaldenegocioclave.La metodologaincluye: Entendimientosdelescenarioautilizar. EvaluacindelImpactoquegeneralainterrupcinenrangosdetiempo definidos. Calcularlostiemposderecuperacin,conlosquesepriorizarnlos procesos,identificandolosprocesoscrticosparalacontinuidad. Recopilarinformacinparadarlecontinuidadalosprocesoscrticos. AtravsdetalleresconlosGestoresdeRiesgoypersonaldenegocioclave.La metodologaincluye: Entendimientosdelescenarioautilizar. EvaluacindelImpactoquegeneralainterrupcinenrangosdetiempo definidos. Calcularlostiemposderecuperacin,conlosquesepriorizarnlos procesos,identificandolosprocesoscrticosparalacontinuidad. Recopilarinformacinparadarlecontinuidadalosprocesoscrticos. Cmose desarrolla? Procesospriorizadossegnnecesidadderecuperacin. Dependenciadeactivos,personas,procesos,tecnologayterceros. TiemposdeRecuperacin(RTO,RPO,MTPD) Identificacindecapacidadesactualesderecuperacin(brechasdetiempos derecuperacindelnegociocontecnologa) Procesospriorizadossegnnecesidadderecuperacin. Dependenciadeactivos,personas,procesos,tecnologayterceros. TiemposdeRecuperacin(RTO,RPO,MTPD) Identificacindecapacidadesactualesderecuperacin(brechasdetiempos derecuperacindelnegociocontecnologa) Culesel resultado? 1.Entendimientodelescenarioautilizar: Durantelostalleresseevaluarelimpactodelainterrupcinporsubprocesoeneltiempo. PlanificacindelanlisisdeImpacto (BIA) 1.2Revisindeloscriteriosdeimpactoa utilizarparaelBIA ViabilidadFinanciera Daosdereputacin/ Imagen Incumplimientode requerimientos regulatorios Daosalpersonaloal pblicoengeneral 2.1KickOffdelBIAconusuariosclave (gestores,lderes,etc.) 2.2Desarrollodetalleresdeevaluacinde impactos Identificacinypriorizacindeprocesos crticosparacontinuidadbasadosenlos criteriosdeimpactoytiemposde recuperacin. ProcesosCrticos EjecucindeAnlisisdeImpacto(BIA) RecopilacindeInformaciny resultados 3.1Tallerderecopilacinde informacin Recopilarinformacindelas principalescaractersticasdelos procesoscrticosidentificados. 3.2Reunindepresentaciny validacinderesultadosenComit deContinuidad ListadeProcesos crticos ProcesoN01 ProcesoN02 ProcesoN03 1 3 2 MetodologadeAnlisisdeImpactoalNegocio(BIA) 1.1Revisindelmarcometodolgicodel anlisisdeimpactoalnegocio(BIA) vigente. 1.3Definirelalcancedelaejecucindel BIA,elcualesrevisadoyaprobadoen ComitdeContinuidaddelNegocio. Criteriosdeimpactoporlainterrupcindelprocesoenlosrangosdetiempo: Horas Das 2 4 8 12 1 2 3 5 7 15 30 VariablesdeimpactoconformealacircularGN 139S.B.S Rangosdetiempoenelqueseevaluarelimpacto Criteriosdeimpactoparalaevaluacindeprocesos Nro. Prioridad RTO Descripcin 1 Crtico RTO <= 48 horas (RTO menor a 2 das) Son los subprocesos crticos, que no tienen tolerancia a interrupciones ya que deben recuperarse en un tiempo menor o igual a 2 das para evitar impactos econmicos, de reputacin o imagen, regulatorios, y/o de daos a las personas, en el Banco. 2 Urgente 48 horas < RTO <= 167 horas (RTO entre 2 das y 7 das) Son los subprocesos que tienen baja tolerancia a interrupciones y deben recuperarse entre 2 das y 7 das para evitar impactos en el Banco. 3 Importante 167 horas < RTO <= 360 horas (RTO mayor a 7 das y hasta 15 das) Son los subprocesos que tienen tolerancia a interrupciones ya que deben recuperarse en un tiempo entre 7 y 15 das, para evitar impactos, en el Banco. 4 Posponible 360 horas < RTO (RTO mayor a 15 das) Son los subprocesos que se pueden posponer ya que pueden interrumpirse por un tiempo mayor a 15 das sin generar impactos en el Banco. SeimplementarnEstrategiasdeContinuidadSLOparalosprocesos calificadoscomoCRTICOS Calificacindeprocesos: ConceptosBsicosparaelBIA: Los gestores debern sustentar los tiempos de recuperacin definidos ante el regulador. Serealizarntalleresadicionalesparalossubprocesosidentificadoscomocrticos,enlos queserecopilarlasiguienteinformacin: 1. Dependenciaentresubprocesos 2. DependenciadeserviciosinformticosTI(calcularRPOyRTOporServiciodeTI) 3. Cantidaddepuestosdetrabajo(ubicacionesfsicas) 4. Cantidadderecursosporrea 5. Reportesregulatorios 6. Registrosvitales 7. Proveedorescrticos 8. Servicioaterceros 9. Documentacindesoporte Insumosparala elaboracindelos Planesde Continuidaddel Negocio RecopilacindelaInformacinparadarlecontinuidadalossubprocesoscrticos Sub Gerencia General de Contralora Subgerencia de Seguridad de la Informacin y Continuidad del Negocio Lunes,07deMayode2013 Caso prctico Caso prctico Caso prctico Hasta3das ToleranciaMximade Interrupcin(MTPD) 1. Viabilidad Financiera Horas Das 2 4 8 12 1 2 3 5 7 15 30 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 2. Menor 3. Moderado 2. Daos a la Reputacin / Imagen Horas Das 2 4 8 12 1 2 3 5 7 15 30 1. No significativo 2. Menor 2. Menor 2. Menor 3. Moderado 3. Moderado 4. Significativo 4. Significativo 4. Significativo 4. Significativo 4. Significativo 3. Incumplimiento de requerimientos regulatorios Horas Das 2 4 8 12 1 2 3 5 7 15 30 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 3. Moderado 4. Daos al personal o al pblico en general Horas Das 2 4 8 12 1 2 3 5 7 15 30 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo 1. No significativo TiempoObjetivode recuperacin(RTO) Hasta04horas Caso prctico 2. Daos a la Reputacin / Imagen Horas Das 2 4 8 12 1 2 3 5 7 15 30 1. No significativo 2. Menor 2. Menor 2. Menor 3. Moderado 3. Moderado 4. Significativo 4. Significativo 4. Significativo 4. Significativo 4. Significativo Niveldeimpacto Basadoen 4.Significativo 2.Daosalareputacin/ imagen 1.Clientesafectadospor interrupcin Entre50,001y100,000 2.Nmerodereclamos por interrupcin Entre100y150reclamos 3.Comentariosnegativos (reputacin) Comentariosnegativosviralizadosenredes sociales,internetyartculosdeprensaescritay/o publicidadnegativacontraelBancoenradioy/o TV. TiempoObjetivode recuperacin(RTO) ToleranciaMximade Interrupcin(MTPD) Hasta04horas Hasta 3das