ACTA No.3

+

ACTA DE REUNIÓN

Fecha de Diligenciamiento: 10 de junio de 2021

DATOS GENERALES Área que convoca: Dirección de Gestión Operativa y Seguridad

Organizador de la reunión: Sergio Andrés Silva

No. Acta: 05

Proyecto / Proceso: GT. Proveedores Estratégicos

Fecha realización: 10/06/2021

Hora de inicio: 14:30

Hora de Finalización: 04:30

Asunto de la Reunión: Presentación Proveedores estratégicos del sector financiero

Notas tomadas por: Julián Santiago Muñoz Garrido

Agenda 1. Presentación PCN Experian 2. Presentación PCN Precia 3. Presentación PCN Redeban 4. Presentación PCN Servibanca 5. Presentación PCN Telefónica 6. Presentación PCN Transunión

Desarrollo I. Presentación PCN Experian

Experian cuenta con su Data Center Principal en Bogotá en la Carrera 7 con Calle 76. El Data Center alterno queda en Panamá. Canal dedicado suministrado por CenturyLink y Claro para acceder a los servicios de consulta en línea por canal dedicado, se realiza a través de direcciones IP privadas, dependiendo del servicio que se requiere consumir. La redirección puede ser automática siempre que se utilicen canales MPLS. VPN: Para acceder a los servicios de consulta en línea a través de un sitio de VPN a sitio, se realiza a través de direcciones IP privadas, dependiendo del servicio que se requiere consumir.

ACTA No.3

Internet: Para acceder a los servicios de consulta en línea a través de Internet, se realiza a través de la URL definida para el sitio de contingencia: https://drs.datacredito.com.co. Allen EBP Project- El centro de datos de Allen (DC) es el DC secundario para servicios de crédito y análisis de datos. - Sin outsourcing - El más alto nivel de seguridad de datos, comparable a Mckinney - Conectado a McKinney por fibra óptica privada El programa BCDR El programa BCDR de Experian describe las locaciones, el plan de comunicación, recuperación operación, datos y aplicaciones. Adicionalmente contempla los procesos, la tecnología, área de trabajo, comunicaciones y personas. Estrategias para la continuidad de los servicios tiempos de recuperación Los tiempos de recuperación en RTO son en promedio de 5 horas, mientras que para procesos RPO está entre 24 y 48 horas.

Gestión de Crisis Esquema General de activación El esquema general de activación se explica a partir de una pirámide con etapas platinum, Gold y Silver:

ACTA No.3

Estrategias para la continuidad de los servicios: Escenarios Experian cuenta con estrategias para la continuidad de los servicios ante escenarios de falla y su respectiva estrategia de recuperación. - Daño en data center principal: La estrategia de recuperación son las contingencias

en sitio y activación de centro alterno de computo. - Bloqueo de la entrada al edificio Sede Principal: Las estrategias se componen por

respuestas de acceso remoto y operación desde las filiales (Perú, Argentina) - Interrupción del servicio causado por daños físicos, naturales y agentes externos en

el centro de cómputo principal y/o en el edificio: la estrategia consiste en activar el centro alterno de computo.

- Ausentismo prolongado de personal Clave: Esquema de suplentes por áreas críticas de negocio.

ACTA No.3

Plan de pruebas El plan de pruebas cuenta con un inicio en la cual realizan la invitación a prueba con fecha y ventana de prueba, adicional la confirmación y aceptación por parte del Cliente. Por su parte, se tiene la ejecución, el cierre y fin de la prueba donde en paralelo, se habilita el ambiente DRS y después el cierre de operaciones desde ambiente DRS.

ACTA No.3

Plan de comunicación El plan de comunicación por parte de Experian fluye hacia arriba y hacia fuera a través del líder de senior o funcional nombrado como el omandante de Crisis , revisado a través del oficial de comunicaciones y oficial legal. Respuesta de violación de datos: descripción general Ante la perdida de datos o sospecha de perdida de datos, se informa el problema, se escala al CEO regional y consejo general & CIO, se toman decisiones para declarar, activar y notificar para finalmente tomar un plan de acción y regresar a la normalidad. Pandemia y enfermedades transmisibles

ACTA No.3

Planes BC & CM Los propietarios del plan deben desarrollar una estrategia de recuperación y planes de apoyo que respalden las funciones críticas del negocio con una tasa de absentismo sostenido del 40%. Esta estrategia se puede cumplir a través de una variedad de tácticas. Algunos de los más utilizados son: - Transferencia de carga de trabajo / turnos de horas extras - Soporte VPN - Cumplimiento diferido de carga de trabajo no crítica Fases del retorno y capacidades Finalmente, las estrategias o plan de retorno consiste en tres principales primicias, estas son: 1) Considerar el consejo de los gobiernos locales y autoridades sanitarias, 2) proteger la salud y seguridad de nuestros colaboradores, 3) Proporcionar continuidad del servicio a clientes y consumidores.

II. Presentación BCP Precia Precia es una filial de la BVC, que determina diariamente el precio de los activos de la mayoría de los activos financieros de entidades como Aseguradoras, Fondos Mutuos, Bancos, Sociedades Fiduciarias, Comisionistas de Bolsa, Compañías de Financiamiento Comercial, Corporaciones Financieras, Fondos de Pensiones, entre otras entidades públicas y privadas de diversos sectores. Marco: ISO--- modelo PDHA: El modelo adoptado por precia para definir e implementar la Gestión de Crisis y Continuidad de Negocio está basado en el estándar ISO 22301.

ACTA No.3

El sistema busca establecer las actividades preventivas y correctivas para atender de manera eficiente una situación que comprometa el normal funcionamiento de los procesos, recurso humano, las instalaciones físicas, técnicas, operativas y de terceros, así como una crisis reputacional. Análisis de impacto al negocio La metodología busca valorar los impactos en los procesos críticos ante una interrupción que afecte la continuidad de la empresa. Punto Objetivo de Recuperación (RPO): Punto en el cual la información usada por una actividad debe ser restaurada para permitir la reanudación de la operación. Tiempo objetivo de recuperación (RTO): Periodo de tiempo después de un incidente en el que: El producto o servicio debe ser reanudado, o la actividad debe reanudarse, o los recursos deben ser recuperados. Periodo máximo tolerable de interrupción (MTPD/MAO): El tiempo que tomaría para que los efectos adversos que pudieran ocurrir como resultado de no proporcionar un producto / servicio o realizar una actividad, se conviertan en inaceptable.

ACTA No.3

Objetivo mínimo de Continuidad de Negocio (MBCO): Nivel mínimo de servicios o productos que sea aceptable para la organización para lograr su objetivo de negocio durante una interrupción. Análisis del impacto del negocio Se identificaron los tiempos y puntos críticos para cada macroproceso y producto

Análisis de riesgos Riesgo global de C y CN: Perdida de disponibilidad de los servicios y procesos: Causas:

- Fallas tecnológicas - Fallas del recurso humano - Fallas de la Infraestructura Física - Fallas de servicios provistos por terceros - Fallas operativas - Crisis reputacional

Consecuencias: - Riesgo sistémico - Afectación de la reputación - Pérdida de credibilidad en el mercado - Demandas - Sanciones - Multas - Pérdidas económicas

Controles: - Planes de continuidad de negocio - Análisis de Impacto al Negocio

ACTA No.3

- Estrategias de contingencia y continuidad - Plan de gestión de desastres - Plan de emergencia

Escenarios de Falla En precia han sido definidos seis tipos de escenarios para la clasificación y análisis de los eventos de contingencia y crisis que se presenten.

Estrategias para la continuidad Las estrategias para la continuidad por parte de Precia, cuentan con Capacitación Análisis de recursos mínimos por procesos, Designación de persona (s) respaldo, Rotación de personal en operación diaria, Trabajo remoto. Asimismo, cuenta con Activación del DC Alterno, Replicación de instancias y Copias de respaldo. Finalmente, metodología de cada producto, publicación de información histórica e impugnaciones. Gestión de estrategias ante un posible evento de terremoto en Bogotá D.C. Dependiendo de la magnitud del terremoto y el impacto que genere tanto en recurso humano, infraestructura tecnológica y física de precia, se activarán las siguientes dos estrategias:

ACTA No.3

Hacer uso del Centro Alterno de Operaciones CAO Activar el trabajo remoto a través de VPN y servicios en la nube para los colaboradores. Cabe aclarar que dichas estrategias se pueden activar de manera individual o conjunta. Planes de continuidad

Plan de Comunicación y Administración en Crisis Alertas:

- Roja: La situación está amenazando de manera sistémica al Mercado de Valores. Es inminente que se superarán los límites de nivel de servicio (RTO) con relación a los procesos misionales. Se ha presentado una situación de riesgo grave e inminente, en el cual la reputación de precia está altamente comprometida; bien sea por un riesgo reputacional materializado por revelamiento al público de proceso legal, controversia, amonestación o derivado de un evento operativo que genera una percepción negativa por parte de los clientes o insatisfacción por caídas en los sistemas y/o servicios tecnológicos. La credibilidad, sostenibilidad y permanencia de precia en el mercado puede verse afectada.

ACTA No.3

- Naranja: Se ha presentado un evento de carácter operativo producto del cual es

posible que se incumplan los niveles de servicio pactados. Se ha presentado un evento de riesgo reputacional de carácter financiero que genera desconfianza en el mercado o divulgación de información confidencial de clientes, que representa un impacto sobre el buen nombre de la compañía y ha sido de conocimiento fuera de precia.

- Amarilla: La situación amenaza la disponibilidad de los servicios del negocio afectando una o dos áreas misionales del negocio sin superar los niveles de servicio establecidos (RTO). Se ve afectada la reputación por una atención inapropiada a Peticiones, Quejas y Reclamos (PQR´s) o por un excesivo tiempo de respuesta a requerimientos. Proceso de administración en crisis

Estructura de gobierno Todos los colaboradores deben participar en la elaboración del Plan de Contingencia y Continuidad del Negocio, conocer sus roles respectivos dentro del mismo y brindar la información requerida para su desarrollo y actualización permanente.

ACTA No.3

Gestión de Incidentes de Seguridad Incidente de Seguridad de la Información: Uno o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información. Los incidentes de seguridad se presentan por el mal uso de los recursos informáticos o por eventos que atenten contra la confidencialidad, integridad y disponibilidad de la información. Cronograma de pruebas de continuidad

III. Presentación BCP Redeban

Centros de tecnología y operaciones y tiempos de recuperación:

Estrategia de recuperación: La dirección general de Redeban es Cra 20#33-15 Btá, de la cual se divide en una estrategia de recuperación en DC principal y CO principal.

ACTA No.3

Tiempos y orden de Recuperación: En la cual se busca valorar el tiempo de recuperación de

los impactos de procesos críticos ante una interrupción que afecte la continuidad de la empresa. Redeban presentó un esquema donde contempla: procesos, subprocesos y tiempos de respuesta para cualquier canal (POS, bancamovil, internet, ATM, IVR).

Plan de pruebas BCP ejecutadas en el 2021 Para las áreas de Seguridad IT se realizaron pruebas programadas funcionales y de nivelación para Firewall PCI e Internet y ambientes de Datapower. Su alcance es llegar a verificar de configuración y clonación de los Firewall de PCI e Internet en sitio alterno, además, de probar la funcionalidad de la contingencia del DataPower Interno ubicados en Cra20, realizando las validaciones de conectividad y enrutamiento de transacciones para los productos que pasen por allí.

Para las pruebas de comunicación se probará la funcionalidad de la conmutación de forma automática sobre los Router de los Comercios para conmutar el tráfico del router de Claro hacia el Router de Lumen. Respecto a los centros alternos, la prueba modular de cuadre de compensación se hace desde el centro alterno de Medellín. Se probará la gestión del equipo de recuperación de procesos de la regional Centro realizando le proceso de generación, pago y cobro de la compensación desde las instalaciones de Unicentro Medellín. No comprende recuperaciones a nivel de Base de Datos, cajas de encriptación, de telecomunicación, seguridad ni de los equipos autorizadores y/o Compensadores, los cuales seguirán funcionando en el sitio principal (Cra 20).

IV. Presentación BCP Servibanca

Generalidades del PCN

ACTA No.3

Dentro de las generalidades del PCN, se encuentra un esquema del plan de continuidad del negocio, el cual está compuesto por estrategias de continuidad, identificación y evaluación de riesgos, análisis de impacto al negocio y contexto de la compañía. Se ejecuta en paralelo ejercicios, evaluaciones y mantenimiento para antes, durante y después de la emergencia. Servibanca cuenta con centros alternos de datos y operación sin embargo, no se relacionan las direcciones exactas dado que son de carácter confidencial para la organización. - CCP: Bogotá- zona centro - CCA: IBM Tiempos de recuperación: los tiempos de recuperación para la infraestructura crítica en promedio, son de 1 hora, la estabilización de comunicaciones es de 3 horas. Estrategias de gestión de crisis y plan de respuesta ante emergencias Gestión de manejo de crisis: Define mecanismos de notificación y escalamiento, que permitan mantener informados a los Entes externos e internos para la toma de decisiones, proteger la reputación de la organización y asegurar la consistencia y continuidad de los mensajes en eventos de crisis.

Establece mecanismos de monitoreo inmediato en todos los medios para comprobar el alcance de la crisis.

Desarrolla procesos de notificación a las partes interesadas. Identifica partes interesadas internas y externas para las comunicaciones en crisis. Cuenta con políticas y principios para el manejo de las comunicaciones internas y

externas

Plan de respuesta a emergencias El Plan de Emergencias se encuentra debidamente estructurado y funcional Este define políticas y procedimientos para enfrentar de manera oportuna, eficaz y eficiente, las situaciones de calamidad, desastre o emergencia con el fin de mitigar o reducir los efectos negativos sobre los colaboradores, visitantes y clientes. El plan de emergencias cuenta con identificación de estrategias de preparación y respuesta, estructuras organizacionales (con responsables, funciones y

ACTA No.3

responsabilidades) para la atención de desastres, c

Comité de Continuidad del Negocio. Gestión de cambios o mejoras en el PCN Fortalecimiento del PCN: Actualización de la Norma de Procedimiento interna y los planes que componen el PCN, capacitación anual sobre el PCN, dirigida a todos los colaboradores de la Entidad, actualización de protocolos, actualización del BIA (Business Impact Analysis), evaluación de los proveedores críticos y actualización del plan de contingencia operativa. Gestión de la operación ante un evento de pandemia Medidas implementadas: Algunas de las medidas implementadas para garantizar la gestión de la operación en tiempos de pandemia, son Comité de Continuidad del Negocio en sesión permanente, dotación de elementos de Bioseguridad a colaboradores, dotación de elementos de bioseguridad a colaboradores, Implementación de medidas para minimizar el tránsito de personal de mantenimiento para la atención de la red de cajeros electrónicos, atendiendo solo los mantenimientos correctivos y la provisión de los mismos, contando con todas las medidas de salubridad, etc. Gestión de estrategias ante un posible evento de terremoto de Bogotá Acciones de respuesta ante un terremoto en Bogotá: - Antes: Identificar las áreas seguras y Puntos de Encuentro, Identificar las Rutas de

Evacuación, Participar en ejercicios de simulacros, Identificar los recursos destinados para la atención de emergencias (camillas, botiquín, linternas, entre otros), Capacitar a los colaboradores y brigadistas para la atención del evento.

- Durante: Conservar la calma, Suspender las actividades, Alejarse de las ventanas y estantes altos, lámparas o cualquier otro elemento que esté suspendido o pueda caer, Ubicarse y agacharse en un área segura, Protegerse la cabeza y cuello con las manos, Permanecer en el área segura hasta que el movimiento sísmico, haya cesado, Esperar las instrucciones de Brigadistas, Coordinador de Evacuación o del Jefe de Emergencias, Activar, de ser posible y necesario, los centros alternos de operación y/o datos.

- Después: Seguir las instrucciones del Jefe de Emergencias y/o Coordinador de Evacuación, con respecto al retorno a las instalaciones, Si no es posible el retorno a

ACTA No.3

las instalaciones, esperar la notificación, para realizar un eventual desplazamiento a otros lugares.

Gestión de la operación ante un evento de ciberseguridad Servibanca cuenta con normas procedimiento establecidas para la Gestión de Incidentes de Seguridad de la Información y Ciberseguridad, donde se establecen las siguientes etapas:

Gestión de incidentes y gestión de notificación circular 028, 07, 05 Monitorización y administración centralizada: Servibanca cuenta con herramientas que permiten garantizar la seguridad del sistema operativo, aplicaciones y procesos realizados en los cajeros electrónicos, con gestión centralizada para la administración de políticas y monitoreo de alertas.

Cifra el disco duro del cajero. Incluye firewall de aplicación. Controla Procesos de ejecución. Filtra solicitudes de acceso a los recursos. Detecta conexiones de nuevo hardware. Evita modificación de componentes.

ACTA No.3

V. Presentación BCP Telefónica Metodología de continuidad de negocio: La metodología de continuidad del negocio por parte de Telefónica, consiste en 4 etapas: la primera es la planificación, implementación y operación, monitorización y mantenimiento. Centro de datos: Telefónica cuenta con centro de datos en Bogotá y Barranquillar. Dentro de la operación de Data Center se tiene definidos procesos que permiten tanto la atención de Incidentes como la comunicación de los mismos, cuando se presenta una Incidente de alto Impacto este es atendido por un Proceso de Gestión Crisis donde se valida si el cliente cuenta con servicios de DRP para proceder a activar los mismos, en caso contrario se realiza la atención de la falla en el menor tiempo posible notificando periódicamente avances al cliente. Tiempos de recuperación: Establecidos en el BIA a partir de la evaluación de impactos generados por eventos disruptivos, dichos RTO varían dependiendo del tipo de escenario materializado. El RTO se encuentra asociado a los acuerdos de Nivel de Servicio definidos contractualmente. Gestión de crisis: Tras la materialización de un evento se colocan en ejecución diferentes planes de acción y respuesta a medida que pasa el tiempo. Permanentemente hay que evaluar el impacto del hecho para dar una respuesta adecuada y oportuna.

ACTA No.3

En cada una de las fases de la Gestión de Crisis, se tienen establecidos protocolos de comunicación con los clientes, los cuales son ejecutados por los líderes de los diferentes proyectos de la compañía.

Digitalización programa de continuidad Como iniciativa de La Oficina Global de Continuidad de Negocio de Telefónica, se está llevando a cabo el proyecto de migración a la plataforma Global Suite, la cual permitirá digitalizar el programa de continuidad generando:

Optimización de procesos Centralización de planes Actualizaciones oportunas de BIA y Riesgos Gestionar RTO y RPO Gestionar y Programar Pruebas Realizar monitoreo y seguimiento a los hallazgos, e iniciativas. Llevar inventario de procesos y activos

Programación pruebas continuidad 2021

ACTA No.3

Plan de atención a emergencias El Plan de Atención a Emergencias PAE nos proporciona orientación para la atención en situaciones de emergencias, por medio de la identificación de riesgos más probables por sede y con un enfoque de prevención, preparación y actuación que está alineado a la metodología Sistema Comando de Incidentes. Comunicación de incidentes clientes corporativos El plan de comunicación en crisis consta con identificar el incidente disruptivo, comunicar a los clientes y ColTel, Id servicios impactados, actualizaciones gestión incidente, informe incidente y plan de calidad aseguramiento.

VI. Presentación BCP Transunión Programa Plan de Continuidad del Negocio El programa de Continuidad del Negocio es un esfuerzo integral administrado para priorizar los procesos críticos de la organización, identificar amenazas significativas a las operaciones normales y planificar estrategias de mitigación para garantizar una respuesta organizacional efectiva y eficiente a las interrupciones significativas que puedan presentarse.

ACTA No.3

Programa de continuidad del negocio El programa de continuidad del negocio de transunion cuenta con: - Comprensión de Procesos Críticos - Desarrollo de Estrategias de Continuidad - Desarrollo de Planes de Respuesta - Pruebas y Ejercicios - Medición y Monitoreo

Escenarios de Contingencia Grupo de eventos o circunstancias que pueden ocurrir que se consideren dentro del DRP.

Escenario de Operación Acceso al Centro de Datos Alternativo a través del enlace que conecta la oficina principal con el Centro Alterno.

ACTA No.3

Escenarios de contingencia de Transunión

Amenazas Perdida o daño del servicio Perdida del edificio que alberga el centro principal de TI (CDP) Sistema de supresión y detección de incendios Falla total de los servicios de suministro de energía

Estrategia de recuperación DRP

Planificación de pruebas de continuidad Las pruebas de continuidad son:

ACTA No.3

Compromisos

No. Acción Responsable Prioridad Fecha de Cumplimiento

1. Enviar acta GT proveedores Asobancaria ALTA 06/07/21

2.

Actividades Reprogramadas

No. Acción Responsable Fecha reprogramada

Causa

1.

ACTA No.3

Resultados Obtenidos

No. Logro Responsable Fecha reprogramada

1.

Próxima Reunión

Fecha Lugar Hora de inicio

Hora de finalización

Comentarios y Observaciones Adicionales

No Asistieron Nombre Completo Cargo /Rol

Asistentes

Entidad Nombre Completo Cargo/rol Fecha Firma (DD/MM/AAAA)

Colpatria Carlos Alberto Hidalgo Gerencia

Enterprise Risk

Bancolombia Juliana Trujillo Gerente

Estrategia de

Continuidad del

Negocio

Bogotá Alexandra Vera Casallas Jefe de

Continuidad de

negocio

Agrario Mabel Gonzalez Infante Profesional

Universitario CN

ACTA No.3

Entidad Nombre Completo Cargo/rol

Fecha Firma (DD/MM/AAAA)

Agrario Walter Wilches Profesional

Continuidad

Agrario Cristian Santos Quecan Profesional

Universitario CN

Davivienda Ángela Ortiz Profesional III

Davivienda Diana Castiblanco P.S. Continuidad

Davivienda Angélica Guzman Profesional III

Davivienda Anamaria Montero Gerente

Falabella Falabella

Falabella Nathalia Pesca Analista PCN

Falabella

Av Villas Gerson Méndez Analista PCN