Sistema de Gestión de Continuidad del Negocio

VIII Jornadas Técnicas CNO & I Jornadas Técnicas CAPT - UPME

Dirección Estrategia y Regulación INTERCOLOMBIA Bogotá, Agosto 22 de 2017 © TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

¿Estamos Preparados?

VIDEO

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

Los diez apagones mas grandes de la historia EEUU y Canadá Agosto / Sep 2003 < 3 días ~50’000.000

España Noviembre 2004 ~ 5 apagones en 10 días > 2’000.000

Parte de Europa occidental Noviembre 2006 2 horas > 5’000.000

EEUU Noviembre 1965 > 12 horas

~ 100’000.000 Nueva Zelanda Feb – mar 1998 Varias Semanas

Colombia Abril 2007 ~ 4 horas

> 70.000

>34’000.000

> 60’000.000

India Enero 2001 ~ 12 horas

~ 220’000.000 Fuente: PWC & ISA

~ 56’000.000

Indonesia Agosto de 2005 Varias horas

~30’000.000

Brasil Marzo 1999 ~ 4 horas

Italia Septiembre de 2003 > 19 horas

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

Donde Cuando Duración Personas sin servicio

¿Qué es la Continuidad del Negocio? Continuidad de negocio:

Es la capacidad de la organización para continuar con la entrega de productos o servicios a los niveles predefinidos aceptables después de un incidente disruptivo.

Gestión de la continuidad de negocio:

Es un proceso holístico de gestión que identifica amenazas potenciales para una organización y los impactos en las operaciones del negocio que esas amenazas, en caso de materializarse, podrían causar, y que provee un marco de actuación para la construcción de resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de sus grupos de interés, reputación, marca y actividades de generación de valor.

Sistema de Gestión de Continuidad de Negocio:

Parte del sistema general de gestión que establece, implementa, opera, monitorea, revisa, mantiene y mejora la Continuidad de Negocio

Fuente: ISO 22301:2012 © TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

¿Porque es importante la Continuidad del Negocio?

43%

El 43% de las Compañías que experimentan un desastre significativo no pueden recuperarse.

29%

El 29% de las Compañías terminan sus operaciones en los dos años siguientes.

50%

Más del 50% de las Compañías han experimentado una crisis alguna vez.

Fuente: Gartner

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

6

¿Porque es importante la Continuidad del Negocio?

° Desarrollo de sistema de comunicación durante el desastre ° Focalización en inversiones: reducción de gastos e inversiones en seguros ° Cumplimiento de exigencias regulatorias

° Generación de orientación proactiva (prepararse para el futuro) – Ventaja competitiva.

° Organizaciones RESILIENTES ° Prontas recuperaciones: Incrementa la confianza y credibilidad

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

RETOS

° Reduce el impacto por interrupciones, al recuperar lo que es critico

LARGO PLAZO

SUPERVIVENCIA

Beneficios:

° Apoyo de la alta Dirección. ° Inclusión en la cultura organizacional ° Sostenimiento en el tiempo ° Focalización y extensión

¿En qué se enfoca continuidad de negocio? Situación normal

En contingencia

Dormitorio

Cocina

Dormitorio

Cocina

Baño

Estudio

Baño

Estudio

Gimnasio

Sala de TV

Gimnasio

Sala de TV

Bar

Bar

8

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P. DC1 - Información de uso interno

SGCN

Gestión de Incidentes de Continuidad Evaluación de la situación actual

Coordinación de empleados

Activación de equipos

Escalamiento

Contratación de emergencia

Supervisión y reporte

Restauración de locación principal

RRHH

Infraestructura Física

Operativo

Tecnología

Personal Clave de TE

Edificio CTE

SE CSM Comunicaciones

Centro de cómputo

Retorno a operación normal

Escenarios

Activación Plan de Continuidad de Negocio

Plan de Emergencias

Procedimientos para atención de contingencias en el CSM

Diseño del plan de contingencias de infraestructura de TI

Plan restitución de personal

Plan restitución de infraestructura física para SP y CTE’s

Componentes

Plan de comunicación en crisis

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

1

DC1 - Información de uso interno

Proyecto diseño e implementación del Sistema de Gestión de Continuidad de Negocio

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P. DC1 - Información de uso interno

1. Entender El negocio

2. Diseñar la estrategia

1.1 Análisis de Impacto (BIA) • Impactos y Tiempos de recuperación por proceso • Definición de objetivos de recuperación • Priorización de recuperación 1.2. Análisis y Evaluación de riesgos • Etapa ejecutada por el cliente • Medición de probabilidad e impacto. • Identificación de controles

2. Diseño de la Estrategia BCP / DRP • Definición de los requerimientos mínimos • Definición de alternativas de recuperación • Matriz de ventajas y desventajas para las alternativas estratégicas de continuidad. • Definición de estrategias de continuidad

Implementar estrategias

Mapa de ruta de continuidad de negocio

Implementación de las estrategias • Esta etapa será ejecutada en su totalidad por el Cliente • Para continuar con la ejecución de las siguientes etapas del proyecto puede ser necesario que la implementación de las estrategias sea una realidad

4. Probar, mantener y revisar

3. Desarrollar planes 3. Desarrollo del Planes BCP / DRP • Documentación del Manual de continuidad • Documentación de procedimientos de recuperación, operación en contingencia y retorno a la operación normal

4. Probar, mantener y revisar • Plan de pruebas, marco metodológico para la planeación de pruebas Acompañamiento en la ejecución pruebas • Informe de resultados de la prueba • La actualización de los planes derivado de la ejecución de pruebas.

5. Integrar la gestión de continuidad a la cultura organizacional PwC

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P. DC1 - Información de uso interno

Entender el negocio

Mantenimiento de líneas

Propósito

Contexto Interno

Desarrollar, operar y mantener infraestructura de transporte de energía eléctrica en Colombia

Procesos Misionales

Proveedores y socios contratados externamente

INTERCOLOMBIA

Producto / Servicio

Transporte de Energía

Identificar y Estructurar negocios

Construir Infraestructuras

Gestionar agentes y Clientes

Contexto Externo

Operar el STE

Mantener el STE

Administración TIC

Procesos Apoyo

Logística

Comunicaciones

Equipos y Suministros

Activos y Recursos

Seguridad

Gestión Estratégica

Gestionar el Talento Humano

Desarrollar la Tecnología

Desarrollar la Organización

Abastecer bienes y servicios

Gestionar las Finanzas

Gestión Jurídica y regulatoria

Evaluar el control interno

Gestión Servicios Generales

Talento Humano

Información

Líneas

Financieros

SE

Clientes de uso y Conexión

Reputación

TIC

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

12

Entender el negocio - BIA • BIA – Análisis de impacto en el negocio • Proceso de analizar las actividades empresariales y los efectos que una interrupción del negocio puede tener sobre estas. ISO 22301. • ¿Porqué realizar un BIA?  La identificación de las actividades que apoyan la prestación de bienes y servicios.  La evaluación de los impactos en el tiempo de no realizar estas actividades.  El establecimiento de plazos para la reanudación de estas actividades a un nivel mínimo especificado aceptable.  La identificación de dependencias y recursos de apoyo para estas actividades, incluyendo proveedores, servicios subcontratados, socios y otras partes interesadas. La organización debe categorizar las actividades de acuerdo a su prioridad de recuperación. © TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

13

Entender el negocio – Análisis de riesgos vs Análisis de impacto en el negocio Impacto

Análisis de riesgos

Análisis de impacto en el negocio

Riesgos de continuidad de negocio:

Tiempo

Ejemplos amenazas de continuidad

• • • •

Fenómenos naturales Terrorismo Sabotaje Incendio

• • • •

Falla de equipos Accidente masivo Secuestro masivo Bloqueo de instalaciones

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

14

Entender el negocio – BIA – Tiempos de recuperación NIVEL DE OPERACIÓN

Período Máximo Tolerable de Interrupción - El tiempo que le tomaría para que los efectos adversos que pudieran ocurrir como resultado de no proporcionar un producto / servicio o la realización de una actividad, para llegar a ser inaceptable

Antes Durante Después

Manejo y comunicación de crisis

Incidente Disruptivo

MTPD

Alerta

Respuesta Controlada

RTO

MBCO

Normalización

MTPD

• • •

Reanudación

Período de tiempo después de un incidente dentro del cual • Los productos o servicios deben ser reanudados • Las actividades deben ser reanudadas, • Los recursos deben ser recuperados

Comité de comunicación para la crisis

Recuperación

RTO

Comité de continuidad y crisis

Respuesta

Mínimo nivel de servicio aceptado en la organización para lograr los objetivos de negocio durante una interrupción.

Equipo de apoyo para el manejo de la crisis

Evaluación

MBCO

Sin Continuidad de Negocio

Con Continuidad del Negocio

RPO

RPO

El punto en el cual la información utilizada por una actividad debe ser restaurada para permitir PwC que la actividad reanude la operación.

Operación Normal

TIEMPO

Prevención

Gestión del incidente

Post - Incidente

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

DC1 - Información de uso interno

1. Entender El negocio

2. Diseñar la estrategia

1.1 Análisis de Impacto (BIA) • Impactos y Tiempos de recuperación por proceso • Definición de objetivos de recuperación • Priorización de recuperación 1.2. Análisis y Evaluación de riesgos • Etapa ejecutada por el cliente • Medición de probabilidad e impacto. • Identificación de controles

2. Diseño de la Estrategia BCP / DRP • Definición de los requerimientos mínimos • Definición de alternativas de recuperación • Matriz de ventajas y desventajas para las alternativas estratégicas de continuidad. • Definición de estrategias de continuidad

Implementar estrategias

Mapa de ruta de continuidad de negocio

Implementación de las estrategias • Esta etapa será ejecutada en su totalidad por el Cliente • Para continuar con la ejecución de las siguientes etapas del proyecto puede ser necesario que la implementación de las estrategias sea una realidad

4. Probar, mantener y revisar

3. Desarrollar planes 3. Desarrollo del Planes BCP / DRP • Documentación del Manual de continuidad • Documentación de procedimientos de recuperación, operación en contingencia y retorno a la operación normal

4. Probar, mantener y revisar • Plan de pruebas, marco metodológico para la planeación de pruebas Acompañamiento en la ejecución pruebas • Informe de resultados de la prueba • La actualización de los planes derivado de la ejecución de pruebas.

5. Integrar la gestión de continuidad a la cultura organizacional PwC

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P. DC1 - Información de uso interno

Continuidad de negocio- Estrategias Determinar y seleccionar la estrategia • Proteger las actividades priorizadas • Estabilizar, continuar, reanudar y recuperar las actividades priorizadas y sus recursos de apoyo • Mitigar, responder y gestionar los impactos. Establecer la necesidad de recursos • Personas • Información • Transporte • Edificios • Equipos • Financiación • Proveedores Protección y mitigación • Reducir probabilidad de interrupción • Acortar tiempos de interrupción • Mitigar los impactos de la interrupción de los productos y servicios

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

17

Continuidad de negocio- Estrategias Metodología En esta etapa se recopilan los requerimientos mínimos, se analizan los escenarios de falla y las alternativas de recuperación, hasta proponer posibles estrategias de recuperación para el grupo de procesos que se definan como críticos: Requerimientos mínimos de recuperación Identificación de escenarios de falla

Alternativas de Recuperación Análisis y Valoración

Estrategia de recuperación = RRHH + TIC + EDIF + PROV

_

PwC

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P. DC1 - Información de uso interno

Continuidad de negocio- Estrategias

Metodología Requerimientos mínimos de recuperación Identificación de escenarios de falla % P. Descripción

25%

10%

20%

10%

Independencia geográfica Inundación Remoción en masa Licuación Expansividad Mínima 10km, optima mayor o igual a 30km Seguridad de la solución Cumplimiento con políticas de seguridad Dependencia del proveedor en la operación normal y en contingencia Objetivos de recuperación Cumplimiento de RTOs Cumplimiento de RPOs Funcionalidad Autonomía frente a realización de pruebas y el tiempo de pruebas

Facilidad de traslado/acceso al sitio Costos 30% Inversión inicial Cargo recurrente mensual 5% Valor agregado 100% CALIFICACION FINAL

PwC

Opc 1

Opc 2

3,0 4 4 4 4 2 5 5

2,4 4 4 4 3 1 5 5

5 5 5 5 5

5 5 5 5 5

5

5

5 4,4 2 5 1 4,12

5 4,7 4 5 1 4,05

Estrategia de recuperación =

Alternativas de Recuperación

RRHH + TIC +

Análisis y Valoración

EDIF + PROV

Edificio Principal

Centro alterno de trabajo

Centro alterno de procesamiento

Centro de C ómputo Alterno

Replica

Centro de Operaciones Alterno

BD NonStop

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P. DC1 - Información de uso interno

1. Entender El negocio

2. Diseñar la estrategia

1.1 Análisis de Impacto (BIA) • Impactos y Tiempos de recuperación por proceso • Definición de objetivos de recuperación • Priorización de recuperación 1.2. Análisis y Evaluación de riesgos • Etapa ejecutada por el cliente • Medición de probabilidad e impacto. • Identificación de controles

2. Diseño de la Estrategia BCP / DRP • Definición de los requerimientos mínimos • Definición de alternativas de recuperación • Matriz de ventajas y desventajas para las alternativas estratégicas de continuidad. • Definición de estrategias de continuidad

Implementar estrategias

Mapa de ruta de continuidad de negocio

Implementación de las estrategias • Esta etapa será ejecutada en su totalidad por el Cliente • Para continuar con la ejecución de las siguientes etapas del proyecto puede ser necesario que la implementación de las estrategias sea una realidad

4. Probar, mantener y revisar

3. Desarrollar planes 3. Desarrollo del Planes BCP / DRP • Documentación del Manual de continuidad • Documentación de procedimientos de recuperación, operación en contingencia y retorno a la operación normal

4. Probar, mantener y revisar • Plan de pruebas, marco metodológico para la planeación de pruebas Acompañamiento en la ejecución pruebas • Informe de resultados de la prueba • La actualización de los planes derivado de la ejecución de pruebas.

5. Integrar la gestión de continuidad a la cultura organizacional PwC

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P. DC1 - Información de uso interno

Continuidad de negocio- Planes Los planes de continuidad son documentos donde se define la forma en la que se utilizan las estrategias de continuidad definidas. Contienen:     



Roles y responsabilidades de los equipos durante y después de los incidentes. Proceso de activación de la respuesta. Detalle para gestionar consecuencias inmediatas de un incidente disruptivo. Procedimientos de comunicación con empleados y partes interesadas. Como continuar o recuperar sus actividades prioritarias en los plazos establecidos. Proceso para normalizar después de que termine el incidente.

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

21

Continuidad de negocio- Planes

Respuesta

Recuperación

Estabilización

Normalización

Plan de gestión de incidentes Manual de comunicación crisis reputacionales Plan de continuidad de negocio Plan de contingencias de TI (DRP) Modelo de gestión de incidentes de seguridad de la información

Planes de contingencia de equipos de subestaciones Manual Unificado de operación y Mantenimiento Seguro Plan de Emergencias

TIEMPO

Incidente PwC

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

22 DC1 - Información de uso interno

En INTERCOLOMBIA contamos con diferentes planes de reacción ante la materialización de los incidentes Resiliencia

Gestión de continuidad de negocio

Gestión de crisis y comunicaciones

Infraestructura tecnológica

Gestión de emergencias

Cumplimiento legal y auditoría

Gestión de riesgos y seguros

Resiliencia organizacional © TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

23

1. Entender El negocio

2. Diseñar la estrategia

1.1 Análisis de Impacto (BIA) • Impactos y Tiempos de recuperación por proceso • Definición de objetivos de recuperación • Priorización de recuperación 1.2. Análisis y Evaluación de riesgos • Etapa ejecutada por el cliente • Medición de probabilidad e impacto. • Identificación de controles

2. Diseño de la Estrategia BCP / DRP • Definición de los requerimientos mínimos • Definición de alternativas de recuperación • Matriz de ventajas y desventajas para las alternativas estratégicas de continuidad. • Definición de estrategias de continuidad

Implementar estrategias

Mapa de ruta de continuidad de negocio

Implementación de las estrategias • Esta etapa será ejecutada en su totalidad por el Cliente • Para continuar con la ejecución de las siguientes etapas del proyecto puede ser necesario que la implementación de las estrategias sea una realidad

4. Probar, mantener y revisar

3. Desarrollar planes 3. Desarrollo del Planes BCP / DRP • Documentación del Manual de continuidad • Documentación de procedimientos de recuperación, operación en contingencia y retorno a la operación normal

4. Probar, mantener y revisar • Plan de pruebas, marco metodológico para la planeación de pruebas Acompañamiento en la ejecución pruebas • Informe de resultados de la prueba • La actualización de los planes derivado de la ejecución de pruebas.

5. Integrar la gestión de continuidad a la cultura organizacional PwC

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P. DC1 - Información de uso interno

Continuidad de negocio Pruebas y ejercicios Objetivos Identificar fortalezas y debilidades del Plan de continuidad para definir acciones de mejora que incrementen la confianza de su funcionamiento.

Verificar y afianzar los roles y responsabilidades del personal involucrado respecto al Plan de Continuidad de Negocio

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

25

Tipos de Prueba Ensayo total Practicar la recuperación de un proceso Ensayo total o área completos siguiendo un guión. Riesgoo área, Participantes: IntegrantesAlto del proceso

Costo

actores del plan.

Prueba de Prueba deextremo extremo a extremo a extremo funciona la recuperación de Confirmar un proceso o área completos. Participantes: Integrantes del proceso o área, actores del plan.

Ensayo Unitario Ensayo unitario Practicar un procedimiento de recuperación siguiendo un guión. Requiere acciones físicas. Participantes: Usuarios del procedimiento específico

Prueba unitaria Prueba unitaria Confirmar que el procedimiento de recuperación de un componente funciona. Participantes: Usuarios del procedimiento específico Simulación Simulación Utilizar el plan para dar respuesta teórica a un incidente. Prueba PruebaGuiada guiadaParticipantes: Facilitador y usuarios del plan Discutir los aspectos teóricos del plan sin Prueba Pruebade deescritorio escritorioadoptar ninguna acción física Verificar la estructuraParticipantes: y el contenido dely usuarios del plan Autor Bajo plan sin Riesgo adoptar ninguna acción física Participantes: Autor del plan

Complejidad © TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

Pruebas del SGCN La capacidad de la Gestión de la Continuidad del Negocio GCN no puede considerarse confiable hasta tanto no haya sido ejercitada. GUÍA DE BUENAS PRÁCTICAS 2010 – The Business Continuity Institute

Septiembre y noviembre 2013 – 2015 y 2016 Prueba unitaria

Mayo 2013

Marzo 2013

Prueba de escritorio

Prueba unitaria

Prueba al Diagrama de actuación para la gestión de incidentes

Traslado de operación de procesos críticos de Sede Principal a Sede Alterna (CTE Noroccidente)

Agosto 2014

Traslado de operación de Centro de Cómputo Principal a Centro de Cómputo Alterno

Septiembre y noviembre 2014 - 2016

Simulación

Prueba unitaria

Prueba integrada en CTE Centro: Emergencia+ Continuidad + Crisis

Prueba Falla CSM Principal

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

27

Pasos a seguir… Puesta en marcha del Plan de Incidentes

Mantenimiento del SGCN

Oficialización del SGCN

Implementación de estrategias

Mejora del

Gestión de crisis

SGCN

Medición29de indicadores

29

29 © TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

¿PREGUNTAS? ¡Muchas Gracias! Paola A. Grisales [email protected] © TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

INTERCOLOMBIA S.A. E.S.P. NIT: 900.667.590-1

Calle 12 Sur 18 – 168 Bloque 1 Pisos 2 y 3 Medellín, Colombia Tel: + 57 4 3252400

Línea única de atención: 018000 942001 Línea ética: opción 3 [email protected]

© TODOS LOS DERECHOS RESERVADOS POR INTERCOLOMBIA S.A. E.S.P.

www.intercolombia.com