Gestión de la Continuidad del Negocio

Actualizado el 31 de marzo de 2022.

1. Introducción y Objetivos 

Esta política tiene como objetivo apoyar las estrategias de todas las empresas del Grupo EBANX. Para asegurar la entrega de los productos y servicios ofrecidos, es fundamental implementar una estrategia eficiente de continuidad del negocio, de modo que los clientes de EBANX no se vean comprometidos en caso de interrupciones del servicio debido a eventos inesperados, así como el bienestar de los ebankers considerando cualquier condición adversa, ya sea climática, regulatoria u operativa.

El objetivo principal de la Gestión de Continuidad de Negocio es identificar estratégicamente los procesos críticos de una empresa y desarrollar una estrategia de recuperación y planes de acción para garantizar que todos los servicios esenciales funcionen correctamente incluso ante situaciones no planificadas.

De esta forma, esta política define procedimientos para asegurar que EBANX:

● Cumple con la normativa, la legislación y las prácticas de mercado bien recomendadas;
● Está en línea con los objetivos y la estrategia comercial de la organización;
● Garantiza que todos los empleados de EBANX y cualquier otra parte que actúe en nombre de EBANX sean conscientes de sus responsabilidades con respecto a las estrategias de recuperación y la continuidad del negocio;
● Establece procedimientos apropiados para la continuidad del negocio a fin de mitigar los riesgos asociados a interrupciones no planificadas del servicio;
● Sea ágil en la evaluación y prevención de impactos económicos y regulatorios en sus productos y servicios, en los más diversos países en los que opera;
● Evita/reduce los daños causados ​​por eventos inesperados que pueden causar interrupciones en la prestación de nuestros servicios a nuestros clientes;
● Protege las operaciones de EBANX contra violaciones de confidencialidad, integridad y disponibilidad;
● Define, establece y mantiene controles de continuidad del negocio efectivos, sostenibles y medibles.

Para eso, es fundamental estar actualizado y cumplir con prácticas de mercado bien recomendadas, como ISO 22301, ISO 27001 y la Resolución 4557 de BACEN. Esto también garantizará la integridad de las operaciones de EBANX y fortalecerá nuestra confiabilidad y la confianza de nuestros grupos de interés.

2. Alcance y Usuarios

Cada área de negocio debe desarrollar un Plan de Continuidad de Negocio considerando los riesgos para el negocio, el análisis de impacto y los requerimientos de recursos, dando como resultado la definición de una Estrategia de Continuidad de Negocio.

Esta Política es aplicable a todas las empresas de EBANX. Sin embargo, no es aplicable para lugares donde se utiliza un espacio de coworking. En este caso, se deberá seguir la Política de Gestión de Continuidad de Negocio de la empresa prestadora del servicio de coworking.

3. Términos y definiciones 

● Plan de Continuidad de Negocios (BCP - Business Continuity Plan): se refiere a una colección documentada de procedimientos e información que se desarrolla, compila y mantiene lista para usar en un incidente para permitir que una organización continúe brindando sus servicios críticos a un nivel predefinido aceptable.
● Análisis de Impacto del Negocio (BIA - Business Impact Analysis): es el proceso utilizado para evaluar la criticidad y el impacto de los servicios y procesos realizados por las áreas en caso de una interrupción inesperada, además de identificar su tiempo ideal de recuperación.
● Gestión de la Continuidad del Negocio (BCM - Business Continuity Management): es un proceso que identifica amenazas potenciales para una organización y los impactos en las operaciones comerciales que esas amenazas, si se realizan, podrían causar, y que proporciona un marco para desarrollar resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarda los intereses de sus principales grupos de interés, la reputación, la marca y las actividades de creación de valor.
● Ciclo de vida de BCM: se refiere a una serie de actividades de continuidad del negocio que en conjunto cubren todos los aspectos y fases del programa BCM, como la finalización/actualización de los documentos de BIA, BCP, Sensibilización y Ejercicios, que se realizan anualmente.
● Plan de Recuperación de Desastres (DRP): es un plan para la continuidad del negocio en caso de un desastre que destruya parte o todos los recursos del negocio, incluidos los equipos de TI, los registros de datos y el espacio físico de una organización. IT Operations & Security es el área responsable en EBANX de la elaboración, prueba y activación del plan cuando sea necesario, así como de enviar los resultados al gobierno de gestión de riesgos.
● Evaluación de riesgos y controles (RCA - Risk and Control Assessment):es un proceso continuo que tiene como objetivo mapear los principales procesos del negocio, identificar, evaluar y monitorear sus riesgos y controles asociados, identificar exposiciones de riesgo y determinar acciones correctivas. Es realizado por las áreas que ejecutan los procesos, con el apoyo y gobierno del equipo de Riesgo Operacional.
● Objetivo de tiempo de recuperación (RTO - Recovery Time Objective ): se refiere a cuánto tiempo un proceso puede soportar el impacto sin realizarse.
● Objetivo de punto de recuperación (RPO - Recovery Point Objective): en cuanto a los sistemas y la necesidad de respaldos (en tiempo real, intradía, último respaldo o no requerido) considerando qué tan posible es realizar el proceso si todo se pierde.

4. Directrices 

La continuidad del negocio debe ser una actividad empresarial, ya que solo el negocio individual puede determinar exactamente sus prioridades y el nivel de participación interna y externa. El nivel C, así como todos los demás niveles de liderazgo, deben participar en la gestión de la continuidad del negocio de sus respectivas áreas y deben conocer el estado del "ciclo de vida de BCM" de su estructura.

Además de las operaciones o procesos existentes, la Continuidad del Negocio necesita considerar los sistemas y su información relevante y realizar un Análisis de Impacto en el Negocio realista y confiable. Esta información guiará al equipo de Operaciones y Seguridad de TI en la construcción del Plan de Recuperación de Desastres (DRP) de TI, al compartir la información recopilada en el Análisis de Impacto Comercial (BIA) con respecto a los procesos críticos versus los sistemas para garantizar que todos los sistemas estén cubiertos por DRP, como así como los RTO están alineados.

El equipo de Gestión de Riesgos, en conjunto con los equipos de Instalaciones, Corporativo de TI y GRC de TI, deben estar involucrados en todas las decisiones relacionadas con el riesgo concentrado en los edificios de EBANX.

En caso de amenaza de crisis, se debe comunicar al área de Riesgo Operacional para analizar el posible impacto de la crisis en EBANX. Toda la información disponible se pondrá en conocimiento de uno o más miembros del nivel C para que el Comité de Crisis pueda activarse si es necesario tomar decisiones estratégicas. Las reuniones podrán realizarse de forma presencial en cualquiera de las unidades de EBANX donde estén presentes los miembros del Comité o incluso de forma remota a través de la herramienta Zoom.

Debe haber una integración activa por parte del equipo de Riesgo Operacional para empoderar a todos los ebankers y especialmente a las áreas de liderazgo para que estén preparados para actuar con la prevención de riesgos en sus áreas. deben ser activos en su rol, siendo responsables de monitorear la activación del árbol de llamadas y la concientización personalizada, así como informar al área de Riesgo Operacional de todos y cada uno de los incidentes relacionados con los riesgos.

BCM LifeCycle consiste en la revisión anual del Business Impact Analysis (BIA) en base al resultado del mapeo de Risk and Control Assessment (RCA), el Business Continuity Plan (BCP), BCM Training y Ejercicios realizados para todas las áreas de negocio de EBANX .
Para asegurar el cumplimiento del objetivo de esta política, EBANX verificará anualmente que todas las áreas se encuentren en cumplimiento con el Plan de Continuidad de Negocios formalmente establecido. En el área de Global Risk & Compliance, el equipo de Riesgo Operacional es el responsable de definir la metodología de medición del cumplimiento de la política, la cual se realizará al menos una vez al año.
El equipo de Riesgo Operacional debe reportar los resultados del BCM Lifecycle al M-Level, incluyendo los planes de acción derivados de la necesidad de mejorar las estrategias de contingencia.

El resultado final de todas las pruebas realizadas para asegurar el cumplimiento de la estrategia BCM establecida para cada equipo se formalizará a través de un Certificado Anual de Cumplimiento, firmado por el C-Level y la Directora de GR&C, que deberá cubrir los planes de recuperación de grandes incidentes. y trata de confirmar para cada área que los planes están actualizados y han sido probados.

4.1 Comité de Crisis

Como parte de BCM, es crucial garantizar que EBANX tenga una estructura de gobierno de continuidad de negocio adecuada para hacer frente a cualquier riesgo actual o emergente. Esta estructura debe estar preparada para responder a más tipos diferentes de eventos inesperados.

El Comité de Crisis es un comité interdisciplinario que se encuentra vigente en la sede de EBANX y está conformado por líderes de diversas áreas (Niveles D y SM). Se puede invitar a otras personas a participar si existe la necesidad de conocimientos específicos para esa situación.

El objetivo principal de este comité es tratar las implicaciones estratégicas más amplias, incluidos los problemas de riesgo de concentración. En un escenario de crisis, este grupo también es responsable de tomar decisiones sobre priorización, asignación de recursos, entrega e implementación de procesos críticos de EBANX.

5. Retención de documentos

Toda la documentación relacionada con BCM se puede almacenar durante al menos 5 años, siguiendo las reglas generales de auditoría y las mejores prácticas.

Pasado este plazo, los documentos podrán ser desechados.

6. Referencias normativas 

● ISO 22301:2012 - https://www.iso.org/standard/50038.html 

● ISO 27001:2013 - https://www.iso.org/standard/54534.html 

● Resolución 4557 del Banco Central de Brasil - 

https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Normativos/Attachments/50344/Res_4557_v1_O.pdf 

7. Publicación y distribución de pólizas 

Esta política y las políticas de apoyo, independientemente de si se trata de una nueva versión de un documento existente, deben ser revisadas por el equipo de Global Risk & Compliance.

Cualquier nueva política o modificación de los documentos existentes debe ponerse a disposición de todas las partes interesadas de EBANX.

Las pólizas están disponibles para consulta por parte de los ebankers en MyEBANXLife, en la sección “Políticas”.

Los documentos públicos se pueden encontrar en los sitios web de EBANX.