Post on 17-Aug-2021
PLAN DE CONTINUIDAD DEL NEGOCIO
Abril de 2021
GERENCIA NACIONAL DE GESTIÓN DE RIESGOS
DIRECCIÓN DE RIESGO OPERATIVO
AGENDA
1. Generalidades del PCN
2. Estrategias de Gestión de Crisis y Plan de Respuesta a Emergencias
3. Gestión de cambios o mejoras en el PCN
4. Gestión de la operación ante un evento de pandemia
5. Gestión de estrategias ante un posible evento de terremoto en Bogotá
6. Gestión de la operación ante un evento de ciberseguridad
7. Gestión de Incidentes y Gestión de Notificación Circular 028, 07, 05
1. Generalidades del PCN
1. Generalidades del PCN
Contexto de la Compañía
Análisis de Impacto al
Negocio - BIA
Identificación y evaluación de riesgos
Estrategias de Continuidad
Plan de Emergencias
Plan de Manejo de
Crisis
Plan de Contingencia
Plan de Reanudación
Ejercicios,
evaluación y
mantenimiento
Ejecución en paralelo
COMITÉ DE CONTINUIDAD DEL NEGOCIO
Antes – Durante - Después
Fuente: ISO 22301:2012 / Prácticas Profesionales del DRII
Esquema del Plan de Continuidad del Negocio - PCN
1. Generalidades del PCN
Esquema del Plan de Continuidad del Negocio - PCN
Servibanca cuenta con centros alternos de datos y operación; sin embargo, No se relacionan lasdirecciones exactas dado que son de carácter confidencial para la organización.
CCP: Bogotá – Zona Centro CCA: IBM
COC: Bogotá – Zona Norte
Tiempos de Recuperación:
Infraestructura Crítica: 1 Hora.
Estabilización de Comunicaciones Cajerosy Entidades: 3 Horas.
2. Estrategias de Gestión de Crisis y Plan de
Respuesta a Emergencias
Gestión de Manejo de Crisis
2. Estrategias de Gestión de Crisis y Plan de Respuesta a Emergencias
Define mecanismos de notificación y escalamiento, que permitan mantener informados a los Entesexternos e internos para la toma de decisiones, proteger la reputación de la organización y asegurar laconsistencia y continuidad de los mensajes en eventos de crisis.
Cuenta con políticasy principios para elmanejo de lascomunicacionesinternas y externas.
Define acciones einstrumentos que rigenlas diferentes etapas de lacomunicación, así como elsegmento objetivo.
Identifica partesinteresadas internas yexternas para lascomunicaciones en crisis.
Desarrolla procesos de notificación a las partes interesadas.
Establece mecanismos demonitoreo inmediato entodos los medios paracomprobar el alcance dela crisis.
Diseña planes decomunicación en crisis:
Línea telefónica Portal web Chat Msm Redes sociales Radio, televisión, prensa Portavoz
Plan de Respuesta a Emergencias
2. Estrategias de Gestión de Crisis y Plan de Respuesta a Emergencias
El Plan de Emergencias se encuentra debidamente estructurado y funcional. Este define políticas yprocedimientos para enfrentar de manera oportuna, eficaz y eficiente, las situaciones de calamidad, desastreo emergencia con el fin de mitigar o reducir los efectos negativos sobre los colaboradores, visitantes yclientes.
El plan de emergencias cuenta, entre otras, con:
Identificación de estrategias de preparación y respuesta:• Plan contra incendio• Plan de Evacuación• Plan de Primeros Auxilios• Plan de manejo de información pública y privada• Plan de manejo para niños y personas en condición de discapacidad
• Plan de vigilancia y seguridad
Cuenta con un “Comité Operativo de Emergencia” que permita evaluar el evento presentado y la necesidad de convocar al Comité de Continuidad del Negocio.
Capacitación y concientización• Logística y atención de emergencias• Plan contra incendio (incluir clasificación y manejo de extintores)
• Plan de evacuación (simulacros y simulaciones)• Primeros auxilios.• Manejo de información pública y privada• Manejo de Multitudes – Psicología de Masas.• Identificación de alarmas• Políticas Institucionales sobre seguridad
Mide la capacidad de respuesta:• Listado de brigadistas identificando el líder y la ubicación
• Instructivos de evacuación• Elementos de seguridad adecuados en cada instalación
• Mantenimiento a todos los elementos de seguridad
Cuenta con directorios de emergencias (entes de ayuda y control) por ciudad debidamente actualizado.
Estructuras organizacionales (con responsables, funciones y responsabilidades) para la atención de desastres.
Efectúa pruebas a cada una de las estrategias definidas dentro del plan.
3. Gestión de cambios o mejoras en el PCN
Fortalecimiento del PCN
3. Gestión de cambios o mejoras en el PCN
Actualización de la Norma deProcedimiento interna y losplanes que componen el PCN.
Capacitación anual sobre el PCN,dirigida a todos loscolaboradores de la Entidad.
Actualización del Plan deContingencia Operativa.
Actualización del BIA (BusinessImpact Analysis).
Evaluación de los proveedorescríticos
Fortalecimiento del PCN,mediante pruebas funcionalesoperativas, durante el periodode emergencia sanitaria
Actualización de protocolos
4. Gestión de la operación ante un evento de
pandemia
4. Gestión de la operación ante un evento de pandemia
Medidas implementadas
Conformación del Comité deEmergencias (CE008 de 2020 de SFC).
Algunas de las medidas implementadas para garantizar la gestión de la operación en tiempos depandemia, son:
Divulgación e implementación deprotocolos de bioseguridad.
Comité de Continuidad del Negocio ensesión permanente.
Dotación de elementos deBioseguridad a colaboradores.
Fortalecimiento y monitoreopermanente de la página Web de laEntidad
Campañas permanentes decomunicación medidas para laprevención contra el contagio delCovid-19.
Implementación de dos esquemas detrabajo, presencial y en casa.
Cumplimiento de los programas deapoyo del Gobierno Nacional, durantela emergencia sanitaria.
Reportes permanentes de la situaciónde la pandemia al Comité de Riesgos yJunta Directiva.
Implementación de medidas paraminimizar el tránsito de personal demantenimiento para la atención de lared de cajeros electrónicos, atendiendosolo los mantenimientos correctivos yla provisión de los mismos, contandocon todas las medidas de salubridad.
Aprovisionamiento permanente decajeros electrónicos a nivel nacional,para mantener el servicio a losusuarios.
Implementación de jornadas dedesinfección en las instalaciones yrefuerzo de jornadas de aseo ydesinfección de los cajeros electrónicosa nivel nacional, varias veces al día.
5. Gestión de estrategias ante un posible evento de
terremoto en Bogotá
Acciones de respuesta ante un terremoto en Bogotá
5. Gestión de estrategias ante un posible evento de terremoto en Bogotá
Identificar las áreas seguras yPuntos de Encuentro.
Identificar las Rutas deEvacuación.
Participar en ejercicios desimulacros.
Identificar los recursos destinadospara la atención de emergencias(alarmas, camillas, botiquín,linternas, entre otros).
Capacitar a los colaboradores ybrigadistas para la atención delevento.
Conservar la calma. Suspender las actividades. Alejarse de las ventanas y
estantes altos, lámparas ocualquier otro elemento que estésuspendido o pueda caer.
Ubicarse y agacharse en un áreasegura
Protegerse la cabeza y cuello conlas manos.
Permanecer en el área segurahasta que el movimiento sísmicohaya cesado.
Esperar las instrucciones deBrigadistas, Coordinador deEvacuación o del Jefe deEmergencias.
Activar, de ser posible ynecesario, los centros alternos deoperación y/o datos.
Estar atento a las instruccionesde los integrantes del Grupo deEmergencias y/o organismos deapoyo.
Si se recibe la instrucción deevacuar, dirigirse en formaorganizada al Punto deEncuentro.
No utilizar ascensores nidevolverse a las instalaciones.
Estar atento al censo depersonal e informar de aquellaspersonas de las que se tengainformación.
Seguir las instrucciones del Jefede Emergencias y/o Coordinadorde Evacuación, con respecto alretorno a las instalaciones.
Si no es posible el retorno a lasinstalaciones, esperar lanotificación, para realizar uneventual desplazamiento a otroslugares.
Por parte de los Colaboradores
Antes
Durante
Después
Acciones de respuesta ante un terremoto en Bogotá
5. Gestión de estrategias ante un posible evento de terremoto en Bogotá
Grupo de Atención de Emergencias
Jefe de emergencias
Una vez finalizado el sismo y si la emergencia lo permite, coordinar la interrupción del suministro eléctrico, de gas, combustible y apagado de todo tipo de equipos y maquinaria.
Determinar la necesidad y el momento adecuado para ordenar la evacuación de las instalaciones. Coordinar las actividades que se requieran realizar, por parte de la Brigada de Emergencias,
dependiendo de la naturaleza de los efectos.
Responsable de seguridad
Coordinar actividades de protección de los colaboradores, así como de control y seguridad de las instalaciones, si la emergencia lo permite.
Controlar los intentos de vandalismo y/o robo. Apoyar el proceso de evacuación de las personas.
Coordinador de evacuación
Liderar y apoyar el proceso de evacuación, de ser necesario, de acuerdo con los procedimientos establecidos.
Brigadistas
Grupo de primeros auxilios: Prestar atención de Primeros Auxilios, en caso de requerirse. Apoyar el proceso de búsqueda y rescate, si es necesario.
Grupo de evacuación: Realizar la evacuación de las personas, de acuerdo con los procedimientos establecidos para ello y las directrices del Coordinador de Evacuación y/o del Jefe de
Emergencias. Apoyar el proceso de Búsqueda y rescate, si es necesario.
6. Gestión de la operación ante un evento de
ciberseguridad
6. Gestión de la operación ante un evento de ciberseguridad
Flujo de gestión ante un ataque cibernético
Servibanca cuenta con normas procedimiento establecidas para la Gestión de Incidentes deSeguridad de la Información y Ciberseguridad, donde se establecen las siguientes etapas:
Detección, Análisis y Evaluación
Informar a la AltaGerencia.
Convocar alComité deContinuidad delNegocio.
Notificación
Clasificación
Análisis
Evaluación
Contención, Erradicación y Recuperación
Actividades Posteriores
Análisis de Impacto
Contención
Erradicación
Recuperación Retorno
Activar Protocolode Comunicación:
• ConsumidoresFinancieros
• Entes de Control• Colaboradores• Proveedores• Demás necesarios
Cadena de custodia
Documentación lecciones aprendidas
Recolección evidencias
Ajuste de controles
7. Gestión de Incidentes y Gestión de Notificación
Circular 028, 07, 05
7. Gestión de Incidentes y Gestión de Notificación Circular 028, 07, 05
Cifra el disco duro del cajero.
Controla Procesos de ejecución.
Incluye firewall de aplicación.
Filtra solicitudes de acceso a los recursos.
Servibanca cuenta con herramientas que permiten garantizar la seguridad del sistemaoperativo, aplicaciones y procesos realizados en los cajeros electrónicos, con gestióncentralizada para la administración de políticas y monitoreo de alertas.
Monitorización y administración centralizada
Detecta conexiones de nuevo hardware.
Evita modificación de componentes.
7. Gestión de Incidentes y Gestión de Notificación Circular 028, 07, 05
Circular Externa 028
Servibanca envía a las entidades participantes un informe mensual de ladisponibilidad la red de cajeros automáticos.
Servibanca cumple con todos los estándares de la Circular Externa 028 y tiene establecidos losparámetros para la notificación de incidentes, así como los grupos de interés de acuerdo al eventopresentado y los canales alternos de comunicación.
Servibanca realiza reportes a la Superintendencia Financiera de Colombia,cuando se identifican eventos significativos que comprometan laintegridad, confidencialidad y disponibilidad de la información por hallazgosen ATM por presuntos elementos de copiado.
Servibanca cuenta con tiempos máximos de respuesta, entre 15minutos y máximo 12 horas, dependiendo la ciudad y la afectación.
Las entidades participantes cuentan con canales definidos para brindarsoporte para atención de eventos, con respuesta satisfactoria.
7. Gestión de Incidentes y Gestión de Notificación Circular 028, 07, 05
Circular Externa 007 - 005
Gestión de Incidentes
Alertas Tempranas
Monitoreo Amenazas Cibernéticas
Servibanca cuenta con un servicio para el monitoreo de su infraestructura crítica expuesta alciberespacio y amenazas cibernéticas.
soc
GRACIAS