Programa de Continuidad de Negocio...Planeación de Continuidad de Negocio Proporcionar un plan...
Transcript of Programa de Continuidad de Negocio...Planeación de Continuidad de Negocio Proporcionar un plan...
Programa de Continuidad de Negocio
Programa Global de Continuidad de Negocio Generalidad
Presentado por Oficina Global de Resiliencia (GBRO)
Región Spanish Latam
2 © Experian
▪ Gerencia de Continuidad de Negocio
▪ Estándares y Política de Continuidad de Negocio
▪ Análisis de Impacto al Negocio
▪ Evaluación de Riesgo BC y Reporte
▪ Gestión de Crisis
▪ Monitoreo Pandemia & Coordinación fuerza de
trabajo
▪ Facilitar desarrollo BC, mantenimiento y ejercicio
▪ Reporte de Gerencia de BC
▪ Gestión Servicios de Notificación
▪ Soporte Infraestructura BC
(herramientas, base de datos, formatos)
▪ BC Concientización y Entrenamiento
Bases del ProgramaSomos responsables por
Direccion
Issues
Disponibilidad
Alta disponibilidad
empresarial
Alcanzar y mantener el
nivel de disponibilidad
elegido de la
infraestructura de TI de
la empresa
Tecnología
Fiabilidad
Gestión de nivel de
servicio
Gestionar y controlar
eficazmente la
infraestructura de TI
para mejorar la
fiabilidad operacional
Procesos
Recuperabilidad
Planeación de
Continuidad de
Negocio
Proporcionar un plan
efectivo para minimizar el
tiempo de inactividad de
los procesos clave en
caso de una interrupción
importante
Personas
Solución
Objetivo
Énfasis
Proactivo & Preventivo Respuesta & Recuperación
Foco
Business Continuity Management
3 © Experian
Política Global & Estándares
• Experian revisa y actualiza, según
corresponda, su Política de
resiliencia global y las medidas
sobre esta política cuando evalúa
el cumplimiento de la unidad de
negocios.
• Los empleados y la gerencia tienen
acceso a la Política a través del
Portal de Zoom de Continuidad del
Negocio.
• Esta política y normas abarcan la
capacidad de recuperación
empresarial, la recuperación ante
desastres y la gestión de crisis.
4 © Experian
Fundación del Programa
Equipo dedicado
Existen equipos dedicados de resiliencia ubicados en cada región. La mayoría de los miembros son profesionales certificados
en continuidad. Proporcionan gobernanza, establecen políticas y estándares de trabajo y facilitan los planes y procesos
necesarios de todas las empresas para la continuidad del negocio, la recuperación ante desastres y la gestión de crisis.
Herramientas líderes en su clase
Fusion, la mejor herramienta de resistencia de continuidad empresarial de su clase, según lo publicado por Gartner, se ha
implementado para la recuperación ante desastres, la continuidad empresarial y la gestión de crisis. Se utilizan herramientas
adicionales a nivel mundial para la comunicación Masiva (MIR3) y la comunicación y coordinación de crisis (In Case of Crisis).
El trabajo se organiza según el modelo organizativo de 3LOD.
1ª línea entrega los Planes de Continuidad y Recuperación de Desastres.
• 2ª línea evalúa el cumplimiento de la política y trabaja con 1ª línea para mitigar las brechas de cumplimiento de la política
• 3ª línea audita ambos 1a y 2a línea para garantizar una revisión independiente e impulsar las mejores prácticas.
Alineación a las normas ISO22301
Experian ha mantenido la acreditación ISO22301 en el Reino Unido durante varios años. Los estándares globales obligatorios
en la Política de resiliencia comercial global, los estándares de trabajo, las plantillas, etc. son comunes, lo que nos permite
adoptar estándares compatibles alineados a nivel mundial.
Experian ha invertido mucho en el área de Gestión de Continuidad de Negocio
Los miembros del equipo de GBRO
NA son profesionales certificados de
BC con DRII y / o BCI
5 © Experian
Proceso de actualización de planesResponsabilidades 1a Linea y 2a Linea
• 90 días: comience a
evaluar su Plan BC en la
herramienta
• 60 días: recibe un
recordatorio de GBCO para
iniciar el proceso de
actualización del Plan BC
IniciaciónActualización
PlanEjercicio Plan
Verificación cumplimiento y
Cierre
Aprendizaje & Mejoramiento
Ciclo de Vida Actualización
*
• 90 días: envíe un aviso al
propietario del plan para
iniciar el proceso de
actualización del plan BC
• 60 días: envíe un aviso
recordatorio al propietario del
plan para iniciar el proceso de
actualización del plan BIA /
BC
Antes de fecha límite:
0
• Lista de verificación
completa de cumplimiento
de la primera línea
• Obtenga la aprobación del
plan
• Revise la verificación de cumplimiento
de la primera línea
• Realizar la verificación de
cumplimiento del control de segunda
línea
• Comunicar las brechas identificadas
• Estar de acuerdo con la remediación
• Asigne problemas según sea
necesario
• Planes con 30 días de retraso,
agregue un problema al Rastreador de
problemas
• Participa en el ejercicio de
notificación
• Planificar y ejecutar
ejercicio
• - Realizar ejercicio
• - Identifique acciones /
problemas para su
resolución - agregue al
Rastreador de problemas
• Informe completo posterior
al ejercicio
* A seguir anualmente o cuando ocurran cambios significativos
• Proporcionar consultas
y apoyo sobre
ejercicios.
• Lanzar ejercicio de
notificación
• Revisar resultados
• Volver a probar según
sea necesario
• Proporcionar
herramientas, soporte y
capacitación según sea
necesario.
• Iniciar ejercicio de
notificación en
coordinación con el
redactor del plan
• Revisar / actualizar todas
las secciones del plan
• Actualizar listas de
llamadas y coordinar
ejercicio de notificación
con GBCO
• Al finalizar el ciclo de
actualización, distribuya
copias del plan en PDF
a los miembros del
equipo
• Identificar oportunidades
de mejora.
• Comparte con GBCO
0
Antes de Fecha límite
Responsabilidad 1ª Línea
• Revisar los resultados de
esta actualización y
compararlos con otras
actualizaciones; hacer
recomendaciones a la
GBCO más amplia si se
justifica
Responsabilidad 2ª Línea
90 Dias 60 Dias 30 Dias Status FinalAntes de fecha
limite
6 © Experian
Plan de Continuidad de Negocio
Hay 3 tipos de planes que forman la base del programa Experian
Plan de Continuidad
(BC)
Recuperación de
Desastres
(DR)
Gestión de Crisis
(CM)
La propiedad para el desarrollo y mantenimiento de cada plan reside en cada unidad de
negocio o equipo técnico. Los miembros asignados de cada equipo trabajan con los
miembros del equipo y la Oficina de Resiliencia Empresarial Global (GRBO) para crear
planes de recuperación, que se desarrollan y modifican con el tiempo
Los planes están alojados en el Sistema Fusion Framework (FFS)
Los planes tienen
un propietario del
plan asignado y un
aprobador del plan.
La gerencia debe
verificar la
viabilidad del plan
Los planes deben
actualizarse y ejercerse
anualmente (revisiones
grupales de escritorio,
funcionales y
combinadas), pero pueden
actualizarse con mayor
frecuencia a medida que
ocurren cambios en el
entorno / sistemas o
aplicaciones
Las listas de contactos
en cada plan están
vinculadas a nuestra
Herramienta de
notificación automática
(MIR3), que recibe datos
de la información de
contacto de los
empleados del sistema
de Recursos Humanos
Las estrategias y los planes
de BC se basan en los
requisitos del negocio
impulsados por los
aspectos legales, de
cumplimiento,
contractuales, operativos,
del cliente, la realidad de
los entornos tecnológicos
heredados, las
consideraciones financieras
y de mercado
Base del
Programa
7 © Experian
Continuidad de Negocio
Analisis de
Impacto al
Negocio (BIA)
Con la implementación de
Fusion, las evaluaciones
de impacto empresarial ya
no son un elemento
independiente de
continuidad del negocio,
sino que se integran en los
datos asociados con cada
plan de continuidad del
negocio.
Muestra de
evaluación de
Criticidad
Muestra de
calificación de
Criticidad
8 © Experian
Concientización & Entrenamiento en BC
• GBRO mantiene un área de concientización y capacitación en nuestro sitio Zoom / SharePoint para empleados.
• Boletines informativos, correo electrónico y capacitación (CBT) disponible.
• Se requiere y realiza un seguimiento anual a través de nuestro equipo de Aprendizaje Organizacional.
• GBRO brinda actividades de concientización y capacitación durante todo el año, tales como:
• Gran simulacro de terremoto
• Ejercicios anuales en sitio en ubicaciones seleccionadas
• Campañas de sensibilización
9 © Experian
Gestión de Crisis
Marco de referencia
En el caso de un evento de nivel de crisis, el marco deGestión de Crisis (CM) de Experian proporciona el procesoestandarizado que Experian utiliza para reunir a las personasy los recursos adecuados para proporcionar:
• La seguridad y el bienestar de todo el personal, visitantes y contratistas.
• La protección y seguridad de nuestros datos y nuestros clientes.
• La comunicación efectiva con los principales interesados (clientes,
contratistas, consumidores, medios y reguladores).
Cada región ha organizado equipos de gestión de crisis, conmiembros designados y capacitados.
• Si se activa un Equipo de CM, el Ejecutivo Estratégico sirve como Comandante de
Crisis hasta el momento en que se designe a otro líder funcional de alto nivel.
• Se requieren revisiones anuales del plan, ejercicios y sesiones de práctica para
garantizar que todos los flujos de trabajo y los líderes conozcan, comprendan y
estén capacitados en la activación y el uso de sus procesos de incidentes y el Plan
de CM.
• La comunicación fluye hacia arriba y hacia afuera a través del líder funcional
designado como el Comandante de Crisis, y se examina a través de nuestras
comunicaciones y oficiales legales. La estructura del equipo CM proporciona
claridad en las tareas
Respuesta CM estándar: descripción
Evento
DMQ
Póngase en
contacto con
EGOC o GBRO
para informar sobre
el evento y solicitar
una revisión por
parte de CM DMQ.
REVISAR
INFORMAR
GBRO
Comuníquese con
GBRO o DMQ para
informar el evento y
solicite una revisión
por parte de CM
DMQ. Si se contacta
a GBRO primero,
activarán el DMQ.
Equipo Regional CM
Equipo Global CM
--Comité Directivo-
El Equipo Regional de CM es notificado para conocimiento o activado por GBRO o DMQ. El RCMT es responsable de dirigir la respuesta de CM en su región.
El Comité Directivo Global CM está informado y comprometido. Proporciona orientación a los equipos regionales de CM.
Regreso a
Normalidad
NOTIFICAR solamente, ACTIVAR para la búsqueda de hechos antes de la declaración, o DECLARAR y comenzar las acciones requeridas
DECLARAR
ACTIVAR
NOTIFICAR
Decisión
AcciónLos equipos ejecutan planes detallados
Respuesta de violación de datos: descripción general
Pérdida de
datos,
o sospecha
de pérdida
de datos
CISO
Póngase en
contacto con CISO o
su respaldo a través
del teléfono celular
e informe sobre la
situación
REVISAR
INFORMAR
IR
Regional CEO
Póngase en
contacto con el
CEO regional o su
respaldo por
teléfono celular e
informe sobre la
situación
Consejo General & CIO
Regional CEO
CISO notifica al Asesor Jurídico General (GC) y al Director de Información (CIO) del posible Compromiso del Sistema.
CISO revisa con el CEO regional del posible Compromiso del sistema antes de la declaración.
Regreso a
Normalidad
NOTIFICAR solamente, ACTIVAR para la búsqueda de hechos antes de la declaración de violación de datos, o DECLARAR y comenzar las acciones requeridas
DECLARAR
ACTIVAR
NOTIFICAR
Decisión
AcciónLos equipos ejecutan planes detallados
12 © Experian
Comunicación al Cliente -circular 028-
13 © Experian
Comunicación a Clientes
Gestión de Crisis
Si un incidente aumenta al nivel de gestión de crisis y se
produce una declaración de crisis, el marco de gestión de
crisis de Experian proporciona comunicaciones de nuestro
equipo de comunicaciones de clientes a través de su equipo
de cuentas de Experian. Los clientes pueden contactar a su
ejecutivo de cuenta Experian designado para dirigir las
preguntas al equipo de gestión de crisis.
Si se declara un evento de desastre o crisis o se produce una
interrupción comercial prolongada, se activará el canal de
información del cliente que proporciona actualizaciones
generales periódicas sobre el estado operativo de un sitio
afectado de Experian.
14 © Experian
Pandemia y Enfermedades Transmisibles
Experian seguirá la guía de los
CDC y la OMS en respuesta a
cualquier evento de pandemia.
Experian monitorea eventos de
pandemia y convoca al Grupo de
Trabajo de Pandemia de Experian
según sea necesario.
Las alertas de seguridad y
conciencia de viaje son
proporcionadas por nuestra Oficina
del Programa de Seguridad y
Protección de Viajes
Planes BC & DR
Los propietarios del plan deben desarrollar una estrategia de recuperación y planes de apoyo que respalden las funciones
críticas del negocio con una tasa de absentismo sostenido del 40%.
Esta estrategia se puede cumplir a través de una variedad de tácticas. Algunos de los más utilizados son:
• Transferencia de carga de trabajo / turnos de horas extras
• Soporte VPN
• Cumplimiento diferido de carga de trabajo no crítica
Este año, las estrategias de pandemia fueron examinadas durante los ejercicios a nivel de sitio para América del Norte y
América Latina. Estos ejercicios reunieron a los equipos empresariales y de TI con base en un sitio determinado para
validar sus planes utilizando un escenario de pandemia.
Otras regiones validaron sus planes a través de recorridos de mesa
.
15 © Experian
Experian IT Continuidad de Servicio
Los planes de recuperación de TI se dividen en 3 tipos principales
Aplicaciones
(Nivel 3)
Infraestructura principal /
plataformas
(Nivel 2)
Data Center
(Nivel 1: esta es la prioridad
del Nivel 2 y Nivel 3)
Los planes están alojados en el Sistema Fusion Framework (FFS)
Todos los planes están
estandarizados y alojados en
Fusion
El repositorio de Fusion se
encuentra fuera de nuestra
propia infraestructura en la
nube, por lo que nuestros
planes siempre estarán
disponibles para nosotros en el
punto del incidente para la
recuperación.
Aproximadamente 400 planes a
nivel mundial en Fusion.
16 © Experian
Estrategias continuidad de los serviciosEscenarios
Escenario de Falla Estrategia de Recuperación
1. Daño en Data Center Principal
➢ Contingencias en sitio
➢ Activación de centro alterno decomputo
2. Bloqueo de la entrada al edificio Sede
Principal
➢ Acceso remoto
➢ Operación desde las filiales (Perú,Argentina)
3. Interrupción del servicio causado por daños
físicos, naturales y agentes externos en el centro
de cómputo principal y/o en el edificio
➢ Activación de centro alterno decomputo
4. Ausentismo prolongado de personal Clave➢ Esquema de suplentes por áreas
criticas de negocio
17 © Experian
Estrategias continuidad de los serviciosTiempo de Recuperación
Consulta en Línea 4 Horas 12 Horas
Procesos Especiales-Batch-
4 Horas 48 Horas
Procesos Back Office 6 Horas 48 Horas
RTO RPO
Inhabilidad de
operación desde
Centro de Computo
Principal
18 © Experian
Experian ITPruebas de Recuperación
Cualquier otra actividad que utilice la capacidad de recuperación ante desastres Como la conmutación por error planificada para la actividad de parches, actualizaciones, incidentes de producción,
etc., se evaluarán y los datos se utilizarán para afirmar el estado de continuidad del servicio de TI
Excepción de prueba : Las soluciones de carga equilibrada activa / activa que se dividen en dos sitios no requieren una prueba de DR DR específica ya que ya se están ejecutando en modo en vivo en dos
ubicaciones simultáneamente. La garantía de estos servicios debe ser, como mínimo, una revisión anual de la
capacidad y la utilización para garantizar que en caso de invocación (es decir, la pérdida de la mitad de la
infraestructura) existe la capacidad en el lugar restante para proporcionar el mínimo nivel de servicio identificado
por la empresa en el proceso BIA de continuidad empresarial.
.
Introducción al Servicio: Se realizan pruebas completas de extremo a extremo para nuevos Productos / Servicios
como parte del proceso estándar de Introducción de servicios, donde no se agrega a la infraestructura probada existente
(por ejemplo, productos clonados que se ejecutan en la infraestructura existente).
Pruebas de garantía de servicio y tutoriales : Todos los Productos / Servicios con un nivel de requisito de "Nivel
1" evaluado tendrán un mínimo de validación de recuperación de nivel básico realizada. Esto consistirá en un modelo de
Garantía de Servicio que validará cada uno de los componentes de extremo a extremo que sustentan un Producto Tier1.
Cuando la prueba de Garantía de Servicio no sea posible, los expertos en la materia deberán realizar un recorrido de
recuperación de escritorio para validar los pasos de recuperación y los tiempos estimados..
El cliente solicitó pruebas específicas de recuperación del producto ya sea en lugar de o además de las
pruebas de nivel de base, también se puede incluir cuando el cliente se está ejecutando en una infraestructura dedicada y
hay un compromiso contractual. El tiempo de inactividad requerido para realizar las pruebas también debe ser aceptado y
proporcionado por el cliente.
20 © Experian
Experian SLatamData Centers (DC) Alterno
Ciudad del Saber- Panamá
Características clave de seguridad:
• Canal dedicado suministrado por CenturyLink y Claro
Para acceder a los servicios de consulta en línea por canal dedicado, se realiza a través de direcciones IP privadas, dependiendo del servicio que se requiere consumir. La redirección puede ser automática siempre que se utilicen canales MPLS.
• VPN
Para acceder a los servicios de consulta en línea a través de un sitio de VPN a sitio, se realiza a través de direcciones IP privadas, dependiendo del servicio que se requiere consumir.
• Internet
Para acceder a los servicios de consulta en línea a través de Internet, se realiza a través de la URL definida para el sitio de contingencia: https://drs.datacredito.com.co.
Allen- EBP Project-
El Centro de datos de Allen (DC) es el DC secundario para servicios de crédito y análisis de
datos.
• Sin outsourcing
• El más alto nivel de seguridad de datos, comparable a McKinney
• Conectado a McKinney por fibra óptica privada
21 © Experian
Experian SLatam – Panamá DCPruebas Disaster Recovery (DR)
Los servicios en línea a través del portal web que brindamos a
nuestros clientes:
• Historia de crédito básica
• Historia de crédito + PN
• Historia de crédito + PN Visor
• Historia de crédito + PJ
• Historia de crédito + PJ Visor
• Reconocer+
• Evidente
• Evidente2
• Síntesis
• Scores genéricos
• Scores a la medida
• Decisor
• Preselecta