PLAN DE CONTINUIDAD DEL NEGOCIO · 2021. 5. 26. · 1. Generalidades del PCN Esquema del Plan de...

PLAN DE CONTINUIDAD DEL NEGOCIO

Abril de 2021

GERENCIA NACIONAL DE GESTIÓN DE RIESGOS

DIRECCIÓN DE RIESGO OPERATIVO

AGENDA

1. Generalidades del PCN

2. Estrategias de Gestión de Crisis y Plan de Respuesta a Emergencias

3. Gestión de cambios o mejoras en el PCN

4. Gestión de la operación ante un evento de pandemia

5. Gestión de estrategias ante un posible evento de terremoto en Bogotá

6. Gestión de la operación ante un evento de ciberseguridad

7. Gestión de Incidentes y Gestión de Notificación Circular 028, 07, 05


Contexto de la Compañía

Análisis de Impacto al

Negocio - BIA

Identificación y evaluación de riesgos

Estrategias de Continuidad

Plan de Emergencias

Plan de Manejo de

Crisis

Plan de Contingencia

Plan de Reanudación

Ejercicios,

evaluación y

mantenimiento

Ejecución en paralelo

COMITÉ DE CONTINUIDAD DEL NEGOCIO

Antes – Durante - Después

Fuente: ISO 22301:2012 / Prácticas Profesionales del DRII

Esquema del Plan de Continuidad del Negocio - PCN


Esquema del Plan de Continuidad del Negocio - PCN

Servibanca cuenta con centros alternos de datos y operación; sin embargo, No se relacionan lasdirecciones exactas dado que son de carácter confidencial para la organización.

CCP: Bogotá – Zona Centro CCA: IBM

COC: Bogotá – Zona Norte

Tiempos de Recuperación:

Infraestructura Crítica: 1 Hora.

Estabilización de Comunicaciones Cajerosy Entidades: 3 Horas.

2. Estrategias de Gestión de Crisis y Plan de

Respuesta a Emergencias

Gestión de Manejo de Crisis


Define mecanismos de notificación y escalamiento, que permitan mantener informados a los Entesexternos e internos para la toma de decisiones, proteger la reputación de la organización y asegurar laconsistencia y continuidad de los mensajes en eventos de crisis.

Cuenta con políticasy principios para elmanejo de lascomunicacionesinternas y externas.

Define acciones einstrumentos que rigenlas diferentes etapas de lacomunicación, así como elsegmento objetivo.

Identifica partesinteresadas internas yexternas para lascomunicaciones en crisis.

Desarrolla procesos de notificación a las partes interesadas.

Establece mecanismos demonitoreo inmediato entodos los medios paracomprobar el alcance dela crisis.

Diseña planes decomunicación en crisis:

Línea telefónica Portal web Chat Msm Redes sociales Radio, televisión, prensa Portavoz

Plan de Respuesta a Emergencias


El Plan de Emergencias se encuentra debidamente estructurado y funcional. Este define políticas yprocedimientos para enfrentar de manera oportuna, eficaz y eficiente, las situaciones de calamidad, desastreo emergencia con el fin de mitigar o reducir los efectos negativos sobre los colaboradores, visitantes yclientes.

El plan de emergencias cuenta, entre otras, con:

Identificación de estrategias de preparación y respuesta:• Plan contra incendio• Plan de Evacuación• Plan de Primeros Auxilios• Plan de manejo de información pública y privada• Plan de manejo para niños y personas en condición de discapacidad

• Plan de vigilancia y seguridad

Cuenta con un “Comité Operativo de Emergencia” que permita evaluar el evento presentado y la necesidad de convocar al Comité de Continuidad del Negocio.

Capacitación y concientización• Logística y atención de emergencias• Plan contra incendio (incluir clasificación y manejo de extintores)

• Plan de evacuación (simulacros y simulaciones)• Primeros auxilios.• Manejo de información pública y privada• Manejo de Multitudes – Psicología de Masas.• Identificación de alarmas• Políticas Institucionales sobre seguridad

Mide la capacidad de respuesta:• Listado de brigadistas identificando el líder y la ubicación

• Instructivos de evacuación• Elementos de seguridad adecuados en cada instalación

• Mantenimiento a todos los elementos de seguridad

Cuenta con directorios de emergencias (entes de ayuda y control) por ciudad debidamente actualizado.

Estructuras organizacionales (con responsables, funciones y responsabilidades) para la atención de desastres.

Efectúa pruebas a cada una de las estrategias definidas dentro del plan.

Fortalecimiento del PCN


Actualización de la Norma deProcedimiento interna y losplanes que componen el PCN.

Capacitación anual sobre el PCN,dirigida a todos loscolaboradores de la Entidad.

Actualización del Plan deContingencia Operativa.

Actualización del BIA (BusinessImpact Analysis).

Evaluación de los proveedorescríticos

Fortalecimiento del PCN,mediante pruebas funcionalesoperativas, durante el periodode emergencia sanitaria

Actualización de protocolos

4. Gestión de la operación ante un evento de

pandemia

4. Gestión de la operación ante un evento de pandemia

Medidas implementadas

Conformación del Comité deEmergencias (CE008 de 2020 de SFC).

Algunas de las medidas implementadas para garantizar la gestión de la operación en tiempos depandemia, son:

Divulgación e implementación deprotocolos de bioseguridad.

Comité de Continuidad del Negocio ensesión permanente.

Dotación de elementos deBioseguridad a colaboradores.

Fortalecimiento y monitoreopermanente de la página Web de laEntidad

Campañas permanentes decomunicación medidas para laprevención contra el contagio delCovid-19.

Implementación de dos esquemas detrabajo, presencial y en casa.

Cumplimiento de los programas deapoyo del Gobierno Nacional, durantela emergencia sanitaria.

Reportes permanentes de la situaciónde la pandemia al Comité de Riesgos yJunta Directiva.

Implementación de medidas paraminimizar el tránsito de personal demantenimiento para la atención de lared de cajeros electrónicos, atendiendosolo los mantenimientos correctivos yla provisión de los mismos, contandocon todas las medidas de salubridad.

Aprovisionamiento permanente decajeros electrónicos a nivel nacional,para mantener el servicio a losusuarios.

Implementación de jornadas dedesinfección en las instalaciones yrefuerzo de jornadas de aseo ydesinfección de los cajeros electrónicosa nivel nacional, varias veces al día.

5. Gestión de estrategias ante un posible evento de

terremoto en Bogotá

Acciones de respuesta ante un terremoto en Bogotá


Identificar las áreas seguras yPuntos de Encuentro.

Identificar las Rutas deEvacuación.

Participar en ejercicios desimulacros.

Identificar los recursos destinadospara la atención de emergencias(alarmas, camillas, botiquín,linternas, entre otros).

Capacitar a los colaboradores ybrigadistas para la atención delevento.

Conservar la calma. Suspender las actividades. Alejarse de las ventanas y

estantes altos, lámparas ocualquier otro elemento que estésuspendido o pueda caer.

Ubicarse y agacharse en un áreasegura

Protegerse la cabeza y cuello conlas manos.

Permanecer en el área segurahasta que el movimiento sísmicohaya cesado.

Esperar las instrucciones deBrigadistas, Coordinador deEvacuación o del Jefe deEmergencias.

Activar, de ser posible ynecesario, los centros alternos deoperación y/o datos.

Estar atento a las instruccionesde los integrantes del Grupo deEmergencias y/o organismos deapoyo.

Si se recibe la instrucción deevacuar, dirigirse en formaorganizada al Punto deEncuentro.

No utilizar ascensores nidevolverse a las instalaciones.

Estar atento al censo depersonal e informar de aquellaspersonas de las que se tengainformación.

Seguir las instrucciones del Jefede Emergencias y/o Coordinadorde Evacuación, con respecto alretorno a las instalaciones.

Si no es posible el retorno a lasinstalaciones, esperar lanotificación, para realizar uneventual desplazamiento a otroslugares.

Por parte de los Colaboradores

Antes

Durante

Después

Acciones de respuesta ante un terremoto en Bogotá


Grupo de Atención de Emergencias

Jefe de emergencias

Una vez finalizado el sismo y si la emergencia lo permite, coordinar la interrupción del suministro eléctrico, de gas, combustible y apagado de todo tipo de equipos y maquinaria.

Determinar la necesidad y el momento adecuado para ordenar la evacuación de las instalaciones. Coordinar las actividades que se requieran realizar, por parte de la Brigada de Emergencias,

dependiendo de la naturaleza de los efectos.

Responsable de seguridad

Coordinar actividades de protección de los colaboradores, así como de control y seguridad de las instalaciones, si la emergencia lo permite.

Controlar los intentos de vandalismo y/o robo. Apoyar el proceso de evacuación de las personas.

Coordinador de evacuación

Liderar y apoyar el proceso de evacuación, de ser necesario, de acuerdo con los procedimientos establecidos.

Brigadistas

Grupo de primeros auxilios: Prestar atención de Primeros Auxilios, en caso de requerirse. Apoyar el proceso de búsqueda y rescate, si es necesario.

Grupo de evacuación: Realizar la evacuación de las personas, de acuerdo con los procedimientos establecidos para ello y las directrices del Coordinador de Evacuación y/o del Jefe de

Emergencias. Apoyar el proceso de Búsqueda y rescate, si es necesario.

6. Gestión de la operación ante un evento de

ciberseguridad

6. Gestión de la operación ante un evento de ciberseguridad

Flujo de gestión ante un ataque cibernético

Servibanca cuenta con normas procedimiento establecidas para la Gestión de Incidentes deSeguridad de la Información y Ciberseguridad, donde se establecen las siguientes etapas:

Detección, Análisis y Evaluación

Informar a la AltaGerencia.

Convocar alComité deContinuidad delNegocio.

Notificación

Clasificación

Análisis

Evaluación

Contención, Erradicación y Recuperación

Actividades Posteriores

Análisis de Impacto

Contención

Erradicación

Recuperación Retorno

Activar Protocolode Comunicación:

• ConsumidoresFinancieros

• Entes de Control• Colaboradores• Proveedores• Demás necesarios

Cadena de custodia

Documentación lecciones aprendidas

Recolección evidencias

Ajuste de controles

7. Gestión de Incidentes y Gestión de Notificación

Circular 028, 07, 05


Cifra el disco duro del cajero.

Controla Procesos de ejecución.

Incluye firewall de aplicación.

Filtra solicitudes de acceso a los recursos.

Servibanca cuenta con herramientas que permiten garantizar la seguridad del sistemaoperativo, aplicaciones y procesos realizados en los cajeros electrónicos, con gestióncentralizada para la administración de políticas y monitoreo de alertas.

Monitorización y administración centralizada

Detecta conexiones de nuevo hardware.

Evita modificación de componentes.


Circular Externa 028

Servibanca envía a las entidades participantes un informe mensual de ladisponibilidad la red de cajeros automáticos.

Servibanca cumple con todos los estándares de la Circular Externa 028 y tiene establecidos losparámetros para la notificación de incidentes, así como los grupos de interés de acuerdo al eventopresentado y los canales alternos de comunicación.

Servibanca realiza reportes a la Superintendencia Financiera de Colombia,cuando se identifican eventos significativos que comprometan laintegridad, confidencialidad y disponibilidad de la información por hallazgosen ATM por presuntos elementos de copiado.

Servibanca cuenta con tiempos máximos de respuesta, entre 15minutos y máximo 12 horas, dependiendo la ciudad y la afectación.

Las entidades participantes cuentan con canales definidos para brindarsoporte para atención de eventos, con respuesta satisfactoria.


Circular Externa 007 - 005

Gestión de Incidentes

Alertas Tempranas

Monitoreo Amenazas Cibernéticas

Servibanca cuenta con un servicio para el monitoreo de su infraestructura crítica expuesta alciberespacio y amenazas cibernéticas.

soc

GRACIAS

PLAN DE CONTINUIDAD DEL NEGOCIO · 2021. 5. 26. · 1. Generalidades del PCN Esquema del Plan de...

Documents

Transcript of PLAN DE CONTINUIDAD DEL NEGOCIO · 2021. 5. 26. · 1. Generalidades del PCN Esquema del Plan de...