Asobancaria 2023 - VF28042023 - Publicada

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 28

Gestión de Continuidad de Negocio del Banrep

Departamento de Gestión de Riesgos y Procesos


Departamento de Servicios de Tecnología Informática
Departamento de Seguridad Informática
Abril 2023
Sistema de Gestión de Continuidad de Negocio

Centros alternos de Operación


Agenda

Gestión de desastres – Escenario Terremoto

Gestión de emergencias

Gestión de Continuidad Tecnológica

Esquemas de comunicación

Estrategia y gestión de ciberseguridad


Sistema de Gestión de Continuidad de Negocio

Centros alternos de Operación


Agenda

Gestión de desastres – Escenario Terremoto

Gestión de emergencias

Gestión de Continuidad Tecnológica

Esquemas de comunicación

Estrategia y gestión de ciberseguridad


Gestión de la Continuidad de Negocio

Estratégico
Gestión de Interés: Reputación y
desastres permanencia
de la organización
Operativo
Táctico y

Gestión de Gestión de
Gestión de
continuidad continuidad
emergencias
operativa tecnológica

Interés: Reanudar los procesos de negocio, para


Interés: Seguridad personas continuar las operaciones después de una
interrupción
4
Sistema de Gestión de Continuidad de Negocio

Centros alternos de Operación


Agenda

Gestión de desastres – Escenario Terremoto

Gestión de emergencias

Gestión de Continuidad Tecnológica

Esquemas de comunicación

Estrategia y gestión de ciberseguridad


Centros Alternos de Operación
Salas de contingencia: Espacios equipados para operar los procesos críticos en caso de eventos de
acuerdo a los niveles de contingencia.

•150 m. de oficina •10 km. de Oficina •900 km. De


principal Principal

Central de Efectivo

Sucursal Barranquilla
Oficina Principal
Edificio Anexo C

•12 puestos de •70 puestos de •20 puestos de


trabajo trabajo con trabajo.
•Se utiliza cuando capacidad de •Se utiliza en
el incidente no extenderse a dos caso de que la
es generalizado y salas adicionales ciudad de
las operaciones de 30 puestos Bogotá quede
no dan espera cada una. completamente
para el •Se utiliza en caso inhabilitada.
desplazamiento de que no haya
a la Central de acceso a las
Efectivo. instalaciones del
centro de
Bogotá.

6
Sistema de Gestión de Continuidad de Negocio

Centros alternos de Operación


Agenda

Gestión de desastres – Escenario Terremoto

Gestión de emergencias

Gestión de Continuidad Tecnológica

Esquemas de comunicación

Estrategia y gestión de ciberseguridad


Gestión de Desastres: Principales componentes
Estrategias ante terremoto
Gobierno de gestión de desastres
En caso de terremoto en Bogotá se cuenta
Aprobado por el CA con respaldos, incluye con el Plan de Provisión de Efectivo a EC y 23
estructura especial para desastres planes de apoyo (adquisiciones, transporte de
cibernéticos. valores, seguridad física, etc.).
Salas de desastre
Sitios de reunión de los equipos de Pruebas de conexión y del primer
gobierno donde se mantiene el flujo de mecanismo de provisión de
información sobre la evolución de los efectivo con entidades
eventos y el control de la situación.
Mecanísmos de comunicación
Ejercicios conjuntos
ante desatres
Con Bancos, transportadoras de
• Télefonos satelitales
valores y proveedores de
• Líneas de atención 018000
infraestructura (protocolo de
• Portal de Información de Desastres
comunicaciones con la RSSF,
(PID)
protocolo de crisis del MVD).
• Sistema de notificación masiva
Sistema de Gestión de Continuidad de Negocio

Centros alternos de Operación


Agenda

Gestión de desastres – Escenario Terremoto

Gestión de emergencias

Gestión de Continuidad Tecnológica

Esquemas de comunicación

Estrategia y gestión de ciberseguridad


Prevención y atención de emergencias: Principales componentes

✓ Manuales de prevención y atención de emergencias por edificación a nivel


Manuales nacional / estructura de gobierno.

✓ Brigadas básicas en cada uno de los edificios.


Personas y ✓ Brigadistas de emergencia certificados.
capacitaciones ✓ Capacitaciones anuales.
✓ Exámenes de aptitud por medio de valoración medica.

Simulacros ✓ Un (1) simulacro de evacuación anual por edificación

✓ De seguridad industrial, de las aseguradoras del Banco, ARL y entes de


Inspecciones control.

✓ Sistemas de detección y extinción, así como, sistema de perifoneo en todas


las edificaciones a nivel nacional.
Tecnología
✓ Sistema de evacuación vertical en el edificio Anexo A y sucursal
aplicada Buenaventura
✓ Sistemas de altavoz en los edificios
Prevención y atención de emergencias
Esquemas de comunicación Recursos de emergencia
o Radios en cada uno de los pisos en Bogotá y o Botiquines
en sucursales distribuidos según necesidad. o Silla de evacuación por escaleras
o Megáfonos en áreas culturales o Desfibrilador externo automático
o Sistema de notificación masiva o Camillas

Infraestructura Otros recursos


o Plantas eléctricas con respaldos o Contrato con Emermédica.
o Revisión de redes eléctricas y puntos o Protocolos de almacenamiento de elementos de
calientes aseo y químicos, zonas de reciclaje, etc.
o Motobombas eléctricas con respaldo o En edificio principal y Fabrica de Moneda
o Sistemas de extinción implementación del Plan Específico de Respuesta –
PER con el cuerpo oficial de Bomberos
Elementos de seguridad
o Dotación para brigadistas de emergencia1
o Paletas para las brigadas de evacuación
o Pasamanos
o Cintas antideslizantes
o Lámparas de emergencia
o Cintas fotoluminiscentes

1. Casco, overol, gafas, botas y chalecos


Sistema de Gestión de Continuidad de Negocio

Centros alternos de Operación


Agenda

Gestión de desastres – Escenario Terremoto

Gestión de emergencias

Gestión de Continuidad Tecnológica

Esquemas de comunicación

Estrategia y gestión de ciberseguridad


Nodos tecnológicos

• Dos (2) nodos (primario y secundario) en Bogotá (Central de Efectivo y Ed.


Continuidad Tecnológica:
Ppal.) ~ 10 km. aprox.
principales componentes
• Activos los dos nodos, cada servicio Activo – Activo, o Activo-Pasivo
según su arquitectura / replicación sincrónica
• RTO = entre 20 min. y 2 horas para los servicios críticos
• RPO = 0 (sin pérdida de información en los datos de los servicios)

• RTO = máximo 8 horas


Un (1) tercer nodo en
• RPO = 1 min para procesos misionales que apoyan
Barranquilla (aprox. 900 km.)
el proceso de provisión de efectivo entre 24 horas
para servicios críticos de Banca
y 1 semana para otros procesos
Central

Nota: Pruebas de nodo primario, secundario y tercer nodo según programación.


Pruebas de contingencia
Prueba de Tercer Nodo
Tecnológico
• Alcance: Suministro de efectivo Prueba de Nodo
ante eventos de desastres
• Participantes: Bancos, ACOS y Secundario a Primario
Transportadoras de Valores (horario hábil)
• Frecuencia: Trimestral • Alcance: Simulación de pérdida del
nodo secundario (edificio principal)
• Participantes: Todas las entidades
Prueba de Nodo Secundario a clientes del BR
• Frecuencia: Semestral
Primario (horario NO hábil)
• Alcance: Simulación de pérdida del nodo
secundario (edificio principal)
• Participantes: Todas las entidades
clientes del BR
• Frecuencia: Semestral
Pruebas de contingencia1
Prueba de Nodo Primario a
Secundario (horario NO hábil)
• Alcance: simulación de pérdida del
Pruebas individuales de
nodo primario (Central de Efectivo)
• Participantes: Todas las entidades servicios (horario hábil o
clientes del BR no hábil)
• Frecuencia: Semestral • Alcance: Poder probar la
contingencia de un servicio
después de algún cambio
Prueba de Nodo Primario a • Participantes: Todas las
Secundario (horario hábil) entidades clientes del BR
• Frecuencia: De acuerdo a las
• Alcance: Simulación de pérdida del necesidades de las
nodo primario (Central de Efectivo) entidades.
• Participantes: Todas las entidades
clientes del BR
• Frecuencia: Semestral

1. En el siguiente enlace puede encontrar el cronograma de pruebas con mayor detalle: http://www.banrep.gov.co/es/continuidad/pruebas-contingencia
Sistema de Gestión de Continuidad de Negocio

Centros alternos de Operación


Agenda

Gestión de desastres – Escenario Terremoto

Gestión de emergencias

Gestión de Continuidad Tecnológica

Esquemas de comunicación

Estrategia y gestión de ciberseguridad


Esquemas de comunicación de incidentes

Correo electrónico a cuentas ContinuidadBR@entidad


1 indicando la no disponibilidad del servicio.

Mensaje en el sistema de audio-respuesta: 3431000 (línea


2 de soporte).

3 Correo electrónico indicando que el servicio ya se


encuentra disponibles y la hora de inicio y fin del incidente.
Esquemas de comunicación - Contingencias

Correo electrónico a cuentas ContinuidadBR@entidad


1 indicando los servicios que se encuentran en contingencia.

Mensaje en el sistema de audio-respuesta (línea de soporte):


2 3431000 (si es masivo).

Correo electrónico indicando que el servicio ya se encuentra


3 disponible y la hora de inicio y fin.

Estado de los servicios a través del sitio web BR (pruebas):


http://www.banrep.gov.co/es/continuidad/estado-servicios
Esquemas de comunicación Cambios

Correo electrónico a cuentas


1 ContinuidadBR@entidad indicando el cambio
que se realizará sobre el servicio.

2 Si es necesario hacer algún cambio en el cliente.

3 Si genera o no indisponibilidad del servicio.

4 Si tienen dudas escribir o llamar


Esquemas de comunicación - SFC

El BR informa a la SFC a la dirección de correo riesgooperativo@superfinanciera.gov.co, los


eventos que afectan de manera significativa la confidencialidad, integridad o disponibilidad de la
información manejada en los sistemas haciendo una breve descripción del incidente y su impacto.
Sistema de Gestión de Continuidad de Negocio

Centros alternos de Operación


Agenda

Gestión de desastres – Escenario Terremoto

Gestión de emergencias

Gestión de Continuidad Tecnológica

Esquemas de comunicación

Estrategia y gestión de ciberseguridad


Estrategia y gestión de ciberseguridad: Marco de Ciberseguridad
IDENTIFICAR PROTEGER DETECTAR RESPONDER RECUPERAR

Alcance:

• Basándose en el Cyber Security Framework del NIST, en el 2018 el Banco hizo una autoevaluación de
sus capacidades para identificar sus activos (especialmente los críticos), protegerlos, detectar
amenazas, responder ante eventos mayores y recuperarse ante un ciberataque. Como resultado, se
definieron varias iniciativas, con el fin de buscar el mejoramiento continuo de la postura de
seguridad y aumentar la resiliencia1.
• En Q4-2022, la evaluación del avance la hizo una consultora con un enfoque general, definiendo una
nueva hoja de ruta para optimizar la madurez en la gestión de la ciberseguridad.

SEGUIMIENTO:
• Trimestralmente, el comité de la Dirección de Tecnología revisa los indicadores asociados
• Semestralmente, el Comité de Riesgo hace el seguimiento al avance de las iniciativas.
• La auditoría interna revisa el avance de las iniciativas mediante reuniones regulares y evaluaciones directas.
La auditoría externa evalúa niveles de madurez de procesos con chequeos aleatorios.

1. Esta primera parte del ejercicio cerró en el Q4-2021.


Estrategia de Ciberseguridad – Postura
Para identificar la capacidad de defensa de la organización ante las amenazas cibernéticas, el Banco
analiza su postura desde diferentes frentes:

Cumplimiento de
Superficie de
políticas
exposición
Nivel de cumplimiento
Grado de exposición de
de las políticas. Enfoque
los servicios publicados
en protección de la
en internet desde la
información y gestión de
perspectiva del atacante
vulnerabilidades.
externo.

Conciencia de Madurez de la
usuarios gestión
Habilidad que tienen los Iniciativas que apoyan la
usuarios de reconocer las mejora continua de las
amenazas. capacidades definidas
por el CSF.
Estrategia de Ciberseguridad – CiberResiliencia
Anticipar

El marco de ciberseguridad
definido, además de identificar
oportunidades de mejora en las
Evolucionar Prevenir
cinco capacidades, también Recuperar Identificar
permite definir una estrategia de
ciberseguridad enfocada
principalmente en la GOBIERNO

ciberresiliencia, entendida como Responder Proteger


la adecuada preparación para
atender eventos de desastre y
para recuperarse de los mismos Detectar
de manera rápida y efectiva .
Practicar Entender
Estrategia de ciberseguridad - Iniciativas
Las iniciativas específicas que apoyan la estrategia son:

ANTICIPAR PREVENIR ENTENDER PRACTICAR EVOLUCIONAR


❖ Medición de ❖Campañas de ❖SOC/MDR ❖Ejercicios de escritorio ❖Medición de la
ciberriesgos cualitativos concienciación (Técnicos y alta madurez y otros
y cuantitativos ❖NGSIEM + UEBA (para gerencia) indicadores
❖Capacitación la nube y la premisa)
❖Inteligencia de especializada al equipo ❖BAS ❖Proyectos/iniciativas
amenazas Técnico ❖SOAR: Operaciones de de mejora continua
Seguridad ❖Cacería de amenazas
❖Gestión de ❖Arquitectura de ❖Retainer
vulnerabilidades Seguridad (IT/IoT/ICS) ❖Protección de DA y
backups ❖Riesgo de terceros
❖Ethical Hacking ❖Mecanismos/servicios
de protección en la
❖Protocolos de gestión nube y la premisa
de desastres

Políticas de Seguridad de la Información y Ciberseguridad


Estrategia de Ciberseguridad - Ciberdesastres
Parte importante de la resiliencia es la construcción de un protocolo de gestión de desastres cibernéticos para los
servicios críticos del Banco, desde lo operativo y tecnológico, y que cuente con el apoyo de la alta gerencia. El proceso
ha sido el siguiente:

1 Definición de las joyas de la corona por la Alta Gerencia.


Ajuste según el BIA
2 Adaptación del gobierno de gestión de desastres ante
un evento de desastre cibernético.
3 Ajuste al plan de comunicaciones con mensajes
predefinidos y avalados
4 Pre-autorizaciones para detener total o parcialmente
servicios, según la valoración del desastre.
5 Playbooks para responder ante eventos de desastre
asociados a malware avanzado, fuga de información o
denegación de servicio.

En general, el Banco priorizará la integridad de los datos sobre la disponibilidad del servicio en los sistemas y
plataformas críticas si llegase a ser requerido, y se reservará el derecho a interrumpir la operación mientras son
llevadas a cabo investigaciones para asegurar la integridad y la calidad de los mismos.
Reporte de incidentes de ciberseguridad CE007-CE033

El Banco ha establecido el uso del buzón, del protocolo TLP de etiquetado y


de la taxonomía en el marco del procedimiento interno de gestión de
incidentes de seguridad y ciberseguridad para documentar los reportes a la
SFC, si el incidente lo amerita.

El Banco reporta trimestralmente los indicadores solicitados por la SFC


en la CE-033.
¡Gracias!

También podría gustarte