Mapa Conceptual relacionado con la Gerencia Industrial, su ámbito de aplicaci...
Status Gestion BCM 2022.pptx
1. 1
ESTRATEGIAS BCM 2022
4 – Evaluación Proveedores
Criticos
2 – Simulacros Planes de
Continuidad de Negocio
3 – Ejercicios DRP
Técnico/Negocio
1 – Gobierno Corporativo BCM
5 – Concientización
El 70% de los Proveedores Criticos evaluados “alcanzan o superan las expectativas” en su
capacidad de recuperación de negocio. El 30% restante requiere mejora y/o no han suministrado
evidencias significativas.
Se validaron a traves de ejercicios prácticos las estrategias definidas en los Planes de Continuidad
de del 100% los proceso criticos ante los escenarios “indisponibilidad de premisa y personal
critico”; sin embargo ciertas actividades criticas se trasladan para el próximo año por indisponibilidad
de recursos.
Adopción local de los lineamientos corporativos relativos a Continuidad de Negocios con la
actualización de la TM y Politica de BCM.
Actualización del Plan de Continuidad Integrado con sus correspondientes Análisis de Impacto en el
Negocio (BIA´s) y Análisis e Identificación de Riesgos (RIA´s)
Capacitación general de BCM a los colaboradores responsables de los procesos criticos, así mismo
se enviaron 2 comunicados internos para reforzar y ampliar la conciencia y la cultura en términos
de Continuidad de Negocios.
El Programa Estratégico de Continuidad de Negocios está diseñado para implementar y mantener un marco sólido de trabajo que
permita orientar el actuar de PlanVital para asegurar la continuidad de las operaciones críticas en niveles aceptables, ante la ocurrencia
de alguna interrupción derivada de un Incidente Mayor o Crisis.
ALCANCE
Se llevó a cabo de manera exitosa el ejercicio planificado de DRP Técnico recuperando la
infraestructura tecnológica crítica en el datacenter de contingencia.
4. Beneficios.- BCM Assesment 2022
La Gestión de Continuidad de Negocios está diseñado para implementar y mantener un marco sólido de trabajo
que permita orientar el actuar de PlanVital para asegurar la continuidad de las operaciones críticas en niveles
aceptables, ante la ocurrencia de alguna interrupción derivada de un Incidente Mayor o Crisis.
La Gestión de Continuidad de Negocios está compuesto de xxx fases principales, como se muestra a continuación:
Identificación & Análisis
de Riesgos (RIA)
Definición Estrategias
BCM
Plan de Continuidad
Negocio (BCP)
Análisis Impacto
Negocio (BIA)
El Análisis de Impacto de Negocio (BIA)
nos permitió identificar los procesos y
recursos criticos del área de Beneficios: el
alcance abarca los procesos: Pago de
Pensiones, Beneficios Estatales,
Tramites de Pensiòn y Otros Beneficios.
El levantamiento de la información se
ejecuto a traves de entrevistas con los
dueños de los procesos mencionados.
Los escenarios de riesgo utilizados fueron:
indisponibilidad de premisa, personal,
infraestructura tecnològica y proveedores
criticos
El levantamiento de la información se
ejecuto a traves de entrevistas con los
dueños de los procesos mencionados.
Los escenarios de riesgo utilizados fueron:
indisponibilidad de premisa, personal,
infraestructura tecnològica y proveedores
criticos
Alcance Método Resultados
6. 6
PROCESO GESTIÓN CONTINUIDAD DE NEGOCIOS
El Programa Estratégico de Continuidad de Negocios está diseñado para implementar y mantener un marco sólido de trabajo que
permita orientar el actuar de PlanVital para asegurar la continuidad de las operaciones críticas en niveles aceptables, ante la ocurrencia
de alguna interrupción derivada de un Incidente Mayor o Crisis.
ALCANCE
Se llevó a cabo de manera exitosa el ejercicio planificado de DRP Técnico recuperando la
infraestructura tecnológica crítica en el datacenter de contingencia.
Fases del proceso:
El Análisis de Impacto del negocio (BIA); nos permitió identificar los
procesos y recursos criticos, analizar nivel de impacto con relación a la
continuidad de negocio.
La Identificación y Análisis de Riesgo (RIA); logramos identificar y
evaluar los principales riesgos y elaborar estrategias para mitigar aquellos
que exceden el apetito y tolerancia.
El Plan de Continuidad de negocios (BCP) y Plan de Recuperación
ante desastre (DRP); se diseñó un Plan estructurado que permita
respaldar la operación y apoyar la recuperación ante una incidencia mayor.
Ejecución de Pruebas & Mejora Continua, se ejecutaron Pruebas
periódicas y se identificaron gaps para la mejora.
Inversiones
Decisión y Ejecución de Inversión
Operaciones Financieras
Tesorería
Control de Inversiones
Custodia Middle Office
Servicios Operaciones
Recaudación y Acreditación
Rezago
Cambio y Distribución de Fondos
Cobranzas
Beneficios
Pago de Pensiones
Beneficios Estatales
Trámites de Pensión y Otros Beneficios
Finanzas
Contabilidad de Fondos
Control de Registros Auxiliares
Servicio al Afiliado
Canal Web/App
Canal Telefónico
Procesos críticos PlanVital:
7. 7
Análisis y Evaluación de Riesgos.- BCM
Escenarios de
Riesgo
Indisponibilidad de la premisa
Indisponibilidad del personal
Ejemplos:
Catástrofes Naturales
Actos terrorismo
Disturbios civiles
Falla servicios básicos
Ejemplos:
Problemas de operaciones TI
Infección por malware.
Cyberataque
Interrupción del negocio y falla del
sistema
Análisis y Evaluación de Riesgo (RIA)
No disponibilidad de tecnologías de la
información y las comunicaciones
Perdida de Servicios de Proveedores Críticos
Ejemplos:
Interrupción del negocio y a la falta o
inadecuación de BCP y DRP dentro de
su organización.
Ejemplos:
Pandemia y otras enfermedades
Huelgas protestas laborales
Catástrofes Naturales
En el análisis y evaluación de riesgo se estimó calculando la
frecuencia de ocurrencia (probabilidad) y el impacto actual en la
organización para cada escenario de riesgo de BCM por
proceso critico declarado teniendo en cuenta a las partes
interesadas, inversores, clientes, socios comerciales, reguladores
y personal.
Escenario de
riesgo
Propietario/
Experto en
Riesgo
Frecuencia
estimada de
ocurrencia
(véase el
apéndice 1)
Impacto (ver
"4. Criterios
para los
impactos")
Riesgo
actual (véase
el apéndice
3)
No disponibilidad o
inaccesibilidad de
locales y utilidades
que puedan afectar
a la continuidad del
negocio de la
empresa
8. La estrategia cibernética de
Generali para 2020-2022 permitirá
mejorar las capacidades básicas a
nivel mundial y al mismo tiempo dar
un salto a un enfoque basado en
datos y riesgos en el ámbito
cibernético. Los principals objetivos
son:
• Aumentar la resistencia
cibernética
• Consumo seguro de tecnologías
emergentes
• Introducir decisiones de
inversion basadas en el riesgo.
• Fortalecer el modelo operativo,
gobierno, talento y cultura
El objetivo del CSTP 2.0 es empezar a
introducir capacidades avanzadas en
las principales zonas geográficas al
tiempo que se amplían las
capacidades básicas a todos los
países
Cumplir las capacidades básicas de seguridad
Asegurar que todos los países tengan las capacidades
básicas de seguridad en el ciclo de vida de seguridad
(identificar, proteger, detectar, responder, recuperar)
▪ WS1 – Security by Design
▪ WS2 – Cloud & IoT Security Framework
▪ WS3 – Cyber Insurance
▪ WS4 – Cyber Threats Management
▪ WS5 – Global IAM
▪ WS6 – Data Protection
▪ WS7 – Security Governance
▪ WS8 – Oper. Risk Model Definition
▪ WS9 – Compliance & BCM
▪ WS10 – Security Culture & Awareness
Business
Initiatives
Enablement
New Cyber
Threats
Governance
People, Skill &
Education
Third party management / assessments
Cloud assessment IoT Assessment
Other initiatives under definition
…
Aumentar la sesistencia cibernética, construyendo
músculos para que Generali pueda resistir incidentes
cibernéticos y crear capacidades para responder y
recuperarse de eventos adversos, cumpliendo las
normas mínimas de seguridad necesarias para
consumir tecnologías emergentes (e.g., nube pública,
IoT)
El CSTP 2.0 busca reforzar las capacidades de seguridad básicas para todos los países que no fueron parte del alcance en
el programa de transformación pasado y habilitar capacidades avanzadas para aquellos países que fueron incluídos en las
actividades del CSTP 1.0.
Cyber Security Transformation Program 2.0 Overview
Contexto y Objetivos
Habilitar capacidades avanzadas
Spain, Switzerland
…
…
…
Fase 2 del programa
Actividades en desarrollo Actividades por comenzar Actividades planeadas para 2022
LATAM & SE, Portugal
Asia
America & SE, Portugal
Asia
Spain, Switzerland
9. Programa de Concientización de Seguridad – Calendario 2021
9
Actividad Planificada Actividad Ejecutada
Leyenda
10. Fases del Programa de Continuidad de Negocios 2022
Revisión
- Análisis de Brechas
(procesos críticos,
recursos,
proveedores críticos
y partes interesadas,
BIA, RIA, BCPs)
Análisis
Evaluación de
Proveedores Críticos
Desarrollo
- Simulacros de
Continuidad de
Negocios.
Mejora
- Robustez Manejo
de Crisis
-Simplificación BCPs
- Desarrollo de
Comunicaciones en
Crisis.
- Concientización.
Resultados
-Próximos pasos.
-Lecciones
aprendidas
10
11. Cierto
Moderado
Improbable
Raro
Matriz de Riesgo Consolidada 2022
Bajo Medio Significativo Alto
Probabilidad
Impacto
Alto Significativo Medio Bajo
Clasificación de Riesgo
1
7
4
17
1 Se identificó 1 riesgo “alto” para el área de Inversiones en vista
que la Red fisica de Bloomberg se encuentra en la sede Tenderini,
así mismo solo se dispone de 1 terminal de Bolsa de Comercio para
el equipo de Renta Variable.
Se identificaron 17 riesgos “significativos” para todos los
procesos criticos a excepción de Inversiones relacionados a
pérdida de TIC en vista que No existe aún involucramiento del
negocio en la ejecución del DRP, solo se ha validado
disponibilidad; así mismo no existe una validación por parte del
negocio de los RTOs de los procesos criticos.
17
7 Se identificaron 7 riesgos “significativos” distribuidos en los
macroprocesos de Operaciones Financieras, Beneficios,
Recaudación y Cobranzas relacionados a la baja madurez de los
Planes de Continuidad de algunos proveedores criticos que
apoyan dichos procesos.
Hallazgos:
18 18
16. 16
PROCESO GESTIÓN CONTINUIDAD DE NEGOCIOS
El Programa Estratégico de Continuidad de Negocios está diseñado para implementar y mantener un marco sólido de trabajo que
permita orientar el actuar de PlanVital para asegurar la continuidad de las operaciones críticas en niveles aceptables, ante la ocurrencia
de alguna interrupción derivada de un Incidente Mayor o Crisis.
ALCANCE
Se llevó a cabo de manera exitosa el ejercicio planificado de DRP Técnico recuperando la
infraestructura tecnológica crítica en el datacenter de contingencia.
No disponibilidad o inaccesibilidad de premisas y servicios básicos
que puedan afectar a la continuidad del negocio de la empresa
No disponibilidad de personal que pueda afectar a la continuidad del
negocio de la empresa
No disponibilidad de tecnologías de la información y las
comunicaciones que puedan afectar a la continuidad del negocio de la
empresa
No disponibilidad de proveedores de servicios que puedan afectar a la
continuidad del negocio de la empresa
Escenarios de Riesgo BCM:
17. 17
Continuidad de Negocios – Escenarios Indisponibilidad
Imposibilidad de uso de las dependencia física
Indisponibilidad de
infraestructura de TI Indisponibilidad Servicios
de Proveedores Críticos
Migración de aplicaciones a nube
pública, (Journey to Cloud).
DRP Técnico/ Negocio
Home office
Servicio VPN a colaboradores de forma
permanente.
Revisión de Claúsulas contractuales
BCM/Auditoría.
Alineación de Planes de Continuidad con
nuestras exigencias corporativas.
Ausencia masiva
de personal
Rotación de funciones (back up
personal).
18. Proceso de Gestión de Continuidad de Negocios
18
Fases del Proceso
Plan de Continuidad de Negocios
El Plan de Continuidad de negocios de AFP PLANVITAL tiene por por
objetivo central orientar el actuar de la organización para asegurar la
continuidad de las operaciones críticas en niveles aceptables, ante la
ocurrencia de alguna interrupción.
El Plan de Continuidad de Negocios contempla los siguientes macroproceso
en base a su criticidad:
Administración de Cuentas
Beneficios Previsionales
Servicio al Afiliado
Inversiones
Inversiones – Operaciones
Ventas - Publicidad
La actualización de los Planes
de Continuidad de Negocio y
de Recuperación ante Desastre
a nivel Compañía será
presentado ante el Directorio
para su aprobación..
19. 1
9
GESTIÓN DE CONTINUIDAD DE NEGOCIOS 2022
Principales Riesgos
Intentos fallidos para ejecución del DRP Técnico
por parte del Proveedor SONDA.
El RTO de proveedor SONDA excede lo requerido
por PlanVital.
No existe aún involucramiento del negocio en la
ejecución del DRP, Solo se ha validado
disponibilidad.
No existe una validación por parte del negocio de
los RPOs de los procesos criticos.
Incompatibilidad de la Infraestructura crítica en
contingencia con otros servicios.
No se han realizado pruebas de contingencia para
el sitio web y canal mobile.
Red Física de Bloomberg se encuentra
únicamente en Sede Tenderini representando un
riesgo residual significativo.
Disponibilidad solo de 1 terminal de Bolsa de
Comercio. en Renta Variable Nacional.
Próximos Pasos
.
Seguimiento en la incorporación de clausula standard de
BCM y SLAs en contrato de los proveedores criticos de
acuerdo al tipo de servicio que ofrecen.
Mejorar el nivel de madurez en los planes de contingencia
para aquellos proveedores que requieren mejora.
Ampliar cobertura DRP Negocio incluyendo nueva nube
pública de AFP PlanVital.
Ejecución DRP Negocio Q2-Q3 2023 con participación de los
dueños de procesos.
Reforzar conocimientos en Continuidad de Negocios por
medio de charlas, capacitaciones, boletines a toda la
compañía.
Ejecución de simulacros BCP para aquellas actividades
criticas que no fueron ejecutadas en 2022 por indisponibilidad
de recursos.
6
6
20. 2
0
Gestión de Seguridad – Gestión de Riesgos de Seguridad 2021
Alto
Medio Alto
Medio
Bajo
Muy Bajo
Muy Baja Baja Media Alta Muy Alta
Impacto
Probabilidad Probabilidad
1 2 3
4 8 9
10
7
5 6 1 7 2 3
4 5
9 10
1 Sitio Web no disponible por consecuencia de ciberataque
2 Acceso no autorizado a servicios Office 365
3 Suplantación de identidad vía email
4 Incidente por concientización de seguridad insuficiente
5 Estrategia de Continuidad de Negocios desactualizada
6 Incidente de seguridad desde proveedores críticos
7 Disrupción de procesos críticos por explotacíón de vulnerabilidades
8 Fuga de información por pérdida/robo de activos (laptops/desktops)
9 Acceso remoto no autorizado a red interna por usuarios y equipos
10 Fuga de información como consecuencia del trabajo remoto
Riesgo inherente Riesgo residual
Leyenda
Riesgos de Seguridad
1
3
4
6
21. 2
1
Gestión de Seguridad – Gestión de Riesgos de Seguridad 2021
Alto
Medio Alto
Medio
Bajo
Muy Bajo
Muy Baja Baja Media Alta Muy Alta
Impacto
Probabilidad
Alto
Medio Alto
Medio
Bajo
Muy Bajo
Muy Baja Baja Media Alta Muy Alta
Impacto
Probabilidad
1 2 3
4 8 9
10
7
5 6 1 7 2 3
4 5
8 9 10
6
1 Sitio Web no disponible por consecuencia de ciberataque
2 Acceso no autorizado a servicios Office 365
3 Suplantación de identidad vía email
4 Incidente por concientización de seguridad insuficiente
5 Estrategia de Continuidad de Negocios desactualizada
6 Incidente de seguridad desde proveedores críticos
7 Disrupción de procesos críticos por explotacíón de vulnerabilidades
8 Fuga de información por pérdida/robo de activos (laptops/desktops)
9 Acceso remoto no autorizado a red interna por usuarios y equipos
10 Fuga de información como consecuencia del trabajo remoto
Riesgo inherente Riesgo residual
Leyenda
Riesgos de Seguridad
22. 2
2
GESTIÓN DE CONTINUIDAD DE NEGOCIOS 2022
Principales Riesgos
Intentos fallidos para ejecución del DRP Técnico
por parte del Proveedor SONDA.
El RTO de proveedor SONDA excede lo requerido
por PlanVital.
No existe aún involucramiento del negocio en la
ejecución del DRP, Solo se ha validado
disponibilidad.
No existe una validación por parte del negocio de
los RTOs de los procesos criticos.
Incompatibilidad de la Infraestructura crítica en
contingencia con otros servicios.
No se han realizado pruebas de contingencia para
el sitio web y canal mobile.
Red Física de Bloomberg se encuentra
únicamente en Sede Tenderini representando un
riesgo residual significativo.
Disponibilidad solo de 1 terminal de Bolsa de
Comercio. en Renta Variable Nacional.
Próximos Pasos
.
Seguimiento en la incorporación de clausula standard de
BCM y SLAs en contrato de los proveedores criticos de
acuerdo al tipo de servicio que ofrecen.
Mejorar el nivel de madurez en los planes de contingencia
para aquellos proveedores que requieren mejora.
Ampliar cobertura DRP Negocio incluyendo nueva nube
pública de AFP PlanVital.
Ejecución DRP Negocio Q2-Q3 2023 con participación de los
dueños de procesos.
Reforzar conocimientos en Continuidad de Negocios por
medio de charlas, capacitaciones, boletines a toda la
compañía.
Ejecución de simulacros BCP para aquellas actividades
criticas que no fueron ejecutadas en 2022 por indisponibilidad
de recursos.
6
6
Notas del editor
Permítanme comentarles en números, estadísticas desde distintas fuentes reconocidas mundialmente.
1- De acuerdo al Security Intelligence de los Estados Unidos, el costo aproximado de una filtración de datos es de 3.92 millones $US
2- Los ataques cada vez son más transversales, sin importar el tamaño de las empresas; de acuerdo al último reporte de Verizon, 43% de las filtraciones de datos corresponden a compañías de tipo PYMES. Acá quiero agregar un comentario, y es por ello la importancia de ser consientes que los ataques seguirán y debemos mantener resguardos y controles tanto en nuestro perímetro o infraestructura como con los terceros que resguardan o procesan nuestros datos.
3- Código malicioso, es el nuevo nombre que antes conocíamos como virus. El costo de un ataque exitoso es de 2.6 millones de $US; siendo el más común el llamado Ransomware. Que no es más que alguien tomando control directo o remoto de tu computador, cifra los datos lo que hace ilegible la información contenida y deja una nota de rescate como moneda de cambio.
4- Hay gente que dice que existen dos tipos de empresas; las que han sido atacadas y las que no se han dado cuenta, y de acuerdo a las métricas em tiempo promedio que lleva identificar una filtración de datos es de 206 días!
5- Es por ello que, 68% de los líderes de compañías sienten que los riesgos en ciberseguridad están incrementando.
6- De igual manera, existe un déficit de profesionales en el área de ciberseguridad, para 2021 se estiman necesarios 4.5 millones de profesionales, incluyendo más de 100mil para LATAM.
7- Y de acuerdo a la OMS los ciberataques han aumentado 5 veces durante la pandemia.
Como vista general de las actividades de seguridad, tres pilares:
Describir cada uno y su seguimiento.
Como vista general de las actividades de seguridad, tres pilares:
Describir cada uno y su seguimiento.