manual de administracion del plan de continuidad de negocios ...
Transcript of manual de administracion del plan de continuidad de negocios ...
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 1 de 123
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS
INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX
Mayo de 2013
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 2 de 123
Contenido
1 INTRODUCCION 4
2 OBJETIVOS 4
2.1 OBJETIVO GENERAL 4
2.2 OBJETIVOS ESPECIFICOS 4
3 ALCANCE 5
4 CONCEPTOS BASICOS 5
5 CAUSAS DE INTERRUPCION 7
6 GOBIERNO DE CONTINUIDAD 8
6.1 LINEAMIENTOS 8
6.2 NORMAS EXTERNAS 9
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10 6.3.1 COMITE SARO - SARLAFT 10 6.3.2 LIDERES PCN 14 6.3.3 OFICINA DE RIESGOS 15
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15
6.5 ENTRENAMIENTO 15
7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17
7.1 FASE DE PREVENCION 17 7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 17 7.1.2 ETAPA DE ANALISIS DE RIESGOS 23 7.1.3 ETAPA DE ESTRATEGIA 30 7.1.4 ETAPA DE PRUEBAS 34 7.1.5 ETAPA DE MANTENIMIENTO 37
7.2 FASE DE ADMINISTRACION DE CRISIS 38 7.2.1 CONCEPTO 38 7.2.2 OBJETIVOS 38
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 3 de 123
7.2.3 ALCANCE 38
8 ANEXOS 39
8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39
8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51
8.3 ANEXOS DE PROCEDIMIENTOS 93 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 93 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 95
8.4 ANEXOS DE TABLAS 98 8.4.1 TIPOS DE AMENAZA 98 8.4.2 TIPOS DE VULNERABILIDADES 99 8.4.3 CRITERIOS DE FRECUENCIA 100 8.4.4 CRITERIOS DE IMPACTO 101
8.5 ANEXOS FORMATOS 102 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 102 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 106 8.5.3 CASCADA TELEFONICA 107 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 109 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 116
8.6 ANEXOS RESULTADOS 117 8.6.1 EQUIPO DE TRABAJO DEL PCN 117
117 8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA 118
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 4 de 123
1 INTRODUCCION
El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un
incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el
menor tiempo posible, garantizando la continuidad del instituto.
La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa,
para responder organizadamente a eventos que interrumpen la normal operación de sus
procesos y que pueden generar impactos sensibles en el logro de los objetivos.
El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad
de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte
del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la
prevención y atención de emergencias, administración de la crisis, planes de contingencia y
capacidad de retorno a la operación normal.
2 OBJETIVOS
2.1 OBJETIVO GENERAL
Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y
mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la
atención de clientes y la operación.
2.2 OBJETIVOS ESPECIFICOS
Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la
integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena
administración de la crisis.
Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio.
Asegurar una pronta restauración de las operaciones afectadas por el evento.
Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 5 de 123
Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera
de Colombia.
3 ALCANCE
La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la
organización para poder continuar operando durante un incidente o desastre, a través de la
implementación de un plan de continuidad, el cual contempla los lineamientos de administración
de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las
metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes
de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad.
De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades
con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad
física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los
mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de
crisis y los demás sistemas de gestión.
4 CONCEPTOS BASICOS
Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado,
transversal a toda la organización, que permite mantener alineados y vigentes todas las
iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad
del negocio.
Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo.
Abarca las personas, procesos de negocios, tecnología e infraestructura.
Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el
cual puede causar interrupción o reducción en la calidad del servicio y en la productividad.
Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o
más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un
incidente o un desastre.
Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 6 de 123
Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción1.
Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una
afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del
negocio.
Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de
recuperación de cada área, determinando el impacto en caso de interrupción.
Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora
y en el futuro, igual que los recursos necesarios para su uso2.
Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.
Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser
causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los
intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de
software, entre otros.
Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias
vulnerabilidades con impactos adversos resultantes para la Entidad.
Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los
factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la
naturaleza de la vulnerabilidad.
Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del
riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de
respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación
1 Concepto tomado del Capítulo XXIII – Reglas relativas a la administración del riesgo operativo – de la Circular
Básica Contable de la Superfinanciera. 2 Concepto tomado del Capítulo XII – Requerimientos mínimos de seguridad y calidad en el manejo de
información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica Jurídica de la Superfinanciera.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 7 de 123
física a personas. Mide el nivel de degradación de uno de los siguientes elementos de
continuidad: Confiabilidad, disponibilidad y recuperabilidad.
Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para
minimizar el riesgo o potenciar oportunidades positivas.
Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin
controles.
Riesgo residual: Riesgo remanente tras la aplicación de controles.
5 CAUSAS DE INTERRUPCION
Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones
y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten.
Estas se pueden unificar en los siguientes escenarios:
Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el
proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.
No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre
natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre
otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades
propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso
crítico se debe contar con un sitio alterno de trabajo, el cual puede ser:
• Suministrado por la Entidad, Ejemplo: Otra sede.
• Suministrado por un proveedor, contratista o aliado estratégico.
Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta
falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos
corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del
proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no
realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el
proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado,
adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el
Icetex.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 8 de 123
6 GOBIERNO DE CONTINUIDAD
6.1 LINEAMIENTOS
El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias
para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se
declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su
impacto sobre el negocio.
Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose
en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:
El plan de continuidad de negocio está orientado a la protección de las personas, así como al
restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos
de interrupción o desastre.
Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos
definidos y conocer claramente los roles y responsabilidades que le competen en el marco de
la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de
los Planes de Contingencia del Negocio.
En caso de presentarse un incidente significativo se deben aplicar los mecanismos de
comunicación apropiados, tanto internos como externos, de acuerdo con el manual de
Comunicación en Situaciones de Crisis.
Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de
la Entidad, con la guía y coordinación de la Oficina de Riesgos.
Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es
responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios
para el área que representa.
Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la
siguiente frecuencia:
o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un
Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus
necesidades.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 9 de 123
o El monitoreo a los riesgos de continuidad se efectuará de manera semestral.
o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas.
o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como
resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de
contingencia.
Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en
los Planes de Continuidad del Negocio.
La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación de Tolerable.
Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben
disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe
solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura
del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los
servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos
debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan.
Los planes de contingencia deben mantenerse actualizados, para lo cual se deben
desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos
en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen
las áreas involucradas.
6.2 NORMAS EXTERNAS
La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se
normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un
Plan de Continuidad de Negocios, que cumplan con los siguientes elementos:
Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un
proceso para administrar la continuidad del negocio que incluya la prevención y atención de
emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la
operación normal.
Circular 038/2009 – Sistema de Control Interno: Implementar, probar y mantener un
proceso para administrar la continuidad de la operación de la entidad para responder a las
fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la
normalidad.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 10 de 123
Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y
continuidad debidamente documentados. Las entidades deberán verificar que los planes, en
lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de
buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de
riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e
ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este
documento.
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO
Para asegurar una adecuada administración de la continuidad del negocio se estableció un
estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de
Proceso, como de la Alta Gerencia. Esa administración está conformada por:
6.3.1 COMITE SARO - SARLAFT
La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de
promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO
– SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es
responsable de administrar la continuidad de la operación del Instituto. A continuación se
mencionan los integrantes del comité, su rol y responsabilidad frente a este item:
COMITÉ SARO – SARLAFT ROLES DE CONTINGENCIA
Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad
Jefe de Riesgos Director Alterno de Continuidad
Secretaria General Líder de Administración /Recuperación
Infraestructura Física
Director de Tecnología Líder de Recuperación Tecnológica
Vicepresidente Financiero Coordinadores de Recuperación
Vicepresidente de Crédito y Cobranza
Vicepresidente de Fondos en Administración
Jefe de Control Interno Tareas de apoyo, control y
cumplimiento
Jefe Oficina Asesora Jurídica
Oficial de Cumplimiento
Coordinador de Riesgos de Crédito y Operativo
Jefe oficina Asesora de Comunicaciones (Su participación
será por solicitud del Comité SARO-SARLAFT)
Asesor de Comunicaciones
Roles de Miembros de Comité SARO - SARLAFT
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 11 de 123
En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios
responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de
Comunicaciones.
A) ROLES Y RESPONSABILIDADES
A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo
respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus
suplentes (alternos) tienen las mismas responsabilidades.
Director de Continuidad El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de
continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de
interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO-
SARLAFT o en situaciones donde amerite realizar su activación inmediata.
Responsabilidades
Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de
actualizar, mantener y probar el plan de continuidad.
Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperación y contingencia de la entidad.
Liderar las reuniones del Comité SARO – SARLAFT.
Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la
entidad y que ponen al descubierto debilidades del plan de continuidad.
Monitorear los reportes sobre el estado de recuperación o evaluación durante una
contingencia.
Velar por la seguridad del personal que actúa en el área del evento.
Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario
de interrupción de lugar teniendo en cuenta el resultado de la evaluación
Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la
contingencia.
Director Alterno de Continuidad
Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste
no se encuentre disponible.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 12 de 123
Es responsable de declarar la contingencia ante un incidente tecnológico de algún
aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de
Tecnología.
Realizar las actividades que le sean asignadas por el Director de Continuidad.
Líder Administrativo El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad
se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las
instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la
operación.
Responsabilidades
Coordinar el suministro de elementos esenciales como transporte, recursos de
infraestructura y papelería.
Gestionar la consecución y adecuación de los centros alternos de operaciones según el
plan de operaciones en contingencia.
Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros.
Líder de Recuperación Tecnológica Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de
continuidad implementadas. Es el contacto directo entre la Dirección de Tecnología y el
Comité SARO - SARLAFT; además, apoya las decisiones tomadas por el Director de
Continuidad durante la declaración y activación de la contingencia.
Responsabilidades
Liderar la recuperación tecnológica, basados en las estrategias de continuidad
implementadas.
Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la
operación normal de la Entidad y que ponen al descubierto debilidades del plan de
continuidad.
Mantener comunicación constante entre Coordinadores de Recuperación del Negocio
durante el estado de contingencia.
Colaborar en la comunicación a los proveedores de los temas o servicios de su
competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa
decisión y autorización del Director de Continuidad, mediante comunicado elaborado en
conjunto con la Oficina Asesora de Comunicaciones.
Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la
recuperación.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 13 de 123
Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten
situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y
responsabilidades, disponibilidad de los recursos, entre otros.
Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en las mismas.
Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Coordinadores de Recuperación Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de
procesos de negocio críticos, basados en las estrategias de contingencia. Son el contacto
directo entre los procesos de negocio y el Comité SARO-SARLAFT; además, colaboran con
las decisiones tomadas por el Director de Continuidad y el Comité SARO-SARLFT durante la
declaración y activación de la contingencia.
Responsabilidades
Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las
interrupciones que están afectando la prestación del servicio.
Ejecutar los planes de contingencia ante el incidente presentado.
Identificar los posibles riesgos que afectan la continuidad de la operación normal de la
Entidad y que ponen al descubierto debilidades del plan de continuidad.
Mantener comunicación constante durante el estado de contingencia.
Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se
encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad,
mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.
Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la
recuperación de sus áreas.
Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Responsable de tareas de apoyo, control y cumplimiento Responsabilidades
Realizar las actividades que le sean asignadas durante la declaración de contingencia.
Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la
funcionalidad del plan.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 14 de 123
Asesor de Comunicaciones El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar
en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel externo
(clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual
de gestión de la comunicación en situaciones de crisis.
Responsabilidades
Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en
temas de comunicación en momentos de crisis.
B) LINEA DE SUCESION
Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus
alternos en caso de que estos no puedan asumir las actividades y/o tareas.
CARGO PRINCIPAL CARGO ALTERNO
Presidente del Icetex o su delegado, quien presidirá el Comité
Jefe de Riesgos
Jefe de Riesgos Director de Tecnología
Secretaria General Asesor Técnico de Secretaria General
Director de Tecnología Coordinador de Infraestructura
Vicepresidente Financiero Director de Contabilidad
Vicepresidente de Crédito y Cobranza Director de Cobranzas
Vicepresidente de Fondos en Administración Analista de Vicepresidente de Fondos en Administración
Jefe de Control Interno Coordinador de la Oficina de Control Interno
Jefe Oficina Asesora Jurídica Analista de Oficina Asesora Jurídica
Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo
Coordinador de Riesgos de Crédito y Operativo
Analista de Plan de Continuidad de Negocios
Línea de sucesión
6.3.2 LIDERES PCN
Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la
administración del plan de continuidad sobre los procesos / procedimientos a cargo:
Actuar como punto focal del área para todos los asuntos de continuidad del negocio.
Cumplir con las actividades y fechas establecidas del Cronograma de PCN.
Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de
contingencia que les compete.
Asegurar la aplicación correcta de los PCN al interior del área.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 15 de 123
Revisar el impacto en el área durante el incidente.
Mantener actualizados los documentos de PCN del área (BIA, Estrategia de Recuperación,
Cascada telefónica, Análisis de Riesgos. etc).
En el Anexo No. 8.6.1 se encuentra la Relación de los Líderes de PCN y Líderes de Proceso
del Icetex.
6.3.3 OFICINA DE RIESGOS
La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad:
Definir e implementar los instrumentos, metodologías y procedimientos tendientes a
gestionar efectivamente el PCN.
Suministrar los programas de capacitación de PCN.
Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área.
Guiar en el desarrollo de las diferentes etapas del PCN.
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE
CONTINUIDAD DEL NEGOCIO
La Administración del Plan de continuidad del Negocio está conformada por los siguientes
elementos:
Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no
disponibilidad del sitio normal de trabajo y no contar con los proveedores críticos del negocio.
Planes de Recuperación de Desastres – DRP, el cual contempla las diferentes estrategias
definidas para la recuperación de los sistemas.
Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la
reanudación oportuna y ordenada de los procesos del negocio
6.5 ENTRENAMIENTO
En el éxito del Plan de Continuidad es fundamental contar con la participación y el compromiso
del personal involucrado en el mismo. La administración de continuidad debe asegurar que todos
los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso
de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que
serán los encargados de ponerlos en funcionamiento en caso de presentarse un evento no
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 16 de 123
deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los
responsables de la correcta ejecución de los planes.
La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo
el personal a través de la Secretaria General Grupo de Talento Humano.
Dentro de la política de capacitación se contempla suministrar a todos los funcionarios
capacitación anual de Plan de Continuidad de Negocios a través de la herramienta e-Learning,
así como en el proceso de inducción.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 17 de 123
7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son:
7.1 FASE DE PREVENCION
En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan
los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto.
Está conformada por las siguientes etapas:
7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA
A) CONCEPTO
El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una
etapa que permite identificar la urgencia de recuperación de cada área, determinando el
impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos
críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus
proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad
puede tolerar en caso de un incidente o desastre.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 18 de 123
B) OBJETIVO
El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperación de
Negocios, es la guía que determina qué necesita ser recuperado y el tiempo requerido para
recuperación.
C) ALCANCE
A través del desarrollo del BIA se obtiene la siguiente información:
Evaluación de los procedimientos, donde se establece cuáles son primordiales para la
continuidad de la Entidad.
Determinación de los impactos de una interrupción y cuando empiezan.
Priorización y establecimiento del período de tiempo en el que los sistemas, aplicaciones y
funciones deben ser recuperados después de una interrupción (RTO).
Determinación del orden de recuperación.
Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una
interrupción en los sistemas de información (RPO).
Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel
de: Tecnología, personal, infraestructura y soporte proveedores.
D) FASES DEL BIA
Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir
con los siguientes pasos:
i. PLANEACION
Contempla los aspectos para el correcto y completo desarrollo del BIA, como son:
Identificación Procesos y Procedimientos: Obtener la relación de los procesos y
procedimientos para realizar la Evaluación BIA.
Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el
Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 19 de 123
ii. METODOLOGIA BIA
Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se
soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación.
Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause
pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En
caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica
de la Entidad.
La metodología establece el diligenciamiento del “Documento BIA” (ver anexo No. 8.5.1), el
cual es aplicado para cada una de los procedimientos que se realizan en la Entidad,
utilizando el mismo patrón de calificación. A continuación se detalla el “Documento BIA”
diseñado en la herramienta Excel:
CUESTIONARIO DE EVALUACION BIA Permite analizar los impactos que puede causar el no ejecutar un procedimiento por
encontrarse ante un incidente o desastre. Los impactos contemplados son:
Regulatorio/ Legal: Incluye pérdidas por no presentar reportes financieros o de
impuestos en las fechas indicadas, demandas o penalizaciones al incumplir
requerimientos obligatorios en las actividades de la Entidad.
Financiero: Incluye pérdida de ingresos, pérdida de intereses, costos de pedir dinero
prestado para hacer caja, pérdida de ingresos por préstamos no realizados,
penalizaciones por no cumplir compromisos contractuales o niveles de servicio y
pérdidas de oportunidades durante el tiempo inoperante.
Reputacional: Incluye la pérdida de confianza por parte de los clientes, del mercado y de
los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el
servicio, apariciones en las noticias por quejas de los clientes y pérdida de reputación.
Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y
oportuna atención a las necesidades de los usuarios.
Operativo: Incluye la suspensión de la operación y los reprocesos que ello puede
ocasionar.
Para responder las preguntas se debe tener en cuenta la tabla del numeral 8.4.4 de este
documento denominada “Criterios del Impacto”. La escala de valoración del impacto es la
siguiente:
Legal Económico Servicio al Cliente Reputacional Procesos
20 20 40 15 5
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 20 de 123
Escala de Valoración del Impacto
El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar
antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo
de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede
permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información
relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría
de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los
clientes por dejar de realizar el procedimiento ante una interrupción.
Adicional, existe la pregunta referente a sí el procedimiento analizado proporciona
información crítica para cualquier otro procedimiento, con el fin de determinar
interdependencias.
Como resultado de la evaluación se genera las siguientes valoraciones:
Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados
por no ejecutarse el procedimiento. Esto se deriva a través de la realización del
cuestionario BIA.
Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una
interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y
recuperación de las actividades críticas para evitar un impacto significativo.
Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que
impulsa el establecimiento de prioridades de recuperación durante una situación difícil.
La tabla de valoración establecida es la siguiente:
Tabla de valoración del BIA
Esta información será el punto de partida para desarrollar las estrategias de recuperación.
Calificación BIATiempo Objetivo de
Recuperación (RTO)Valor del BIA
N - 1AAA 4 Horas Misión Critica
N - 1AA 8 Horas Misión Critica
N - 1A 24 Horas Masivo
Nivel 2 48 Horas Masivo
Nivel 3 7 días Medio
Nivel 4 14 días Medio
Nivel 5 30 días Bajo
Nivel 6 > 30 días Insignificante
Tabla Valoración del BIA
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 21 de 123
Determinación del Punto de Recuperación Objetivo de la información – RPO: El
parámetro de Punto de Recuperación Objetivo de la Información determina la periodicidad
con la que deben salvaguardarse los datos de los procesos del negocio; cuánto más
pequeño sea el RPO más sólido debe ser el mecanismo de protección de datos (backup,
replicación online, etc).
El cuestionario de Evaluación BIA contiene la pregunta dirigida a establecer el Punto
Objetivo de Recuperación (RPO) por procedimiento, la cual permite establecer el apetito de
riesgo de pérdida de información ante un incidente tecnológico.
Los parámetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que
utilice la Entidad.
Requerimientos Infraestructura: El análisis de los procedimientos está acompañado de
la identificación de los requerimientos de personal, recursos y facilidades necesarias para
su operación ante un evento de contingencia.
Para ello, se tiene dispuesto la hoja de Cálculo “Requerimientos Tecnológicos” del
documento BIA, donde el Líder de PCN diligencia la información referente a:
Número de colaboradores de tiempo completo para ejecutar el proceso.
Recurso humano requerido en contingencia.
Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se
determina la criticidad de los aplicativos del Icetex.
Elementos logísticos como son: teléfono, impresora, escáner etc.
Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta
compartida del área.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 22 de 123
Información de Proveedores Externos: El BIA identifica la relación del procedimiento con
proveedores externos y en la hoja de cálculo denominada “Información Proveedores” del
“Documento BIA” se mencionan los proveedores críticos.
APROBACION DE LA EVALUACION
Cada procedimiento evaluado por la metodología BIA es revisado, analizado y aprobado
por el Líder del Proceso y como evidencia se genera el documento “Resultados del Análisis
de Impacto de Negocio (BIA)”, el cual es firmado por el Líder de Proceso y Líder de PCN
del área.
iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS
Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la
Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben
ser informados al Comité SARO – SARLAFT:
Número de procesos y procedimientos evaluados.
Clasificación de los procedimientos por calificación BIA.
Establecimiento de los procedimientos críticos de la Entidad, de acuerdo con la
calificación BIA.
Cantidad de recursos humanos requeridos en contingencia: Número de personas que
apoyan la contingencia ante una interrupción de las operaciones.
Recursos de Bienes Muebles clasificado por calificación BIA: Se establecen los bienes
muebles necesarios en la contingencia, como son: Computadores, teléfonos, escáneres,
impresoras y otros elementos necesarios en contingencia.
Dependencia de los proveedores externos en los procesos prioritarios: Definir los
proveedores críticos con el fin de involucrarlos en la estrategia de PCN.
Recursos Tecnológicos: Es necesario suministrar la información de:
Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada
procedimiento, con el fin de contar con la información necesaria para el alistamiento
de los computadores que se disponen como contingencia en el escenario de
Interrupción de Lugar. Adicionalmente, esta es la fuente para establecer el orden de
criticidad de los aplicativos.
El punto objetivo de recuperación (RPO): Con el fin de establecer las estrategias de
backup adecuadas para garantizar que en caso de caída y daño de los data files en
una base de datos, se restaure la información con el mínimo de pérdida.
En el Anexo No.8.6.2 describe el resultado de la última Evaluación del BIA.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 23 de 123
7.1.2 ETAPA DE ANALISIS DE RIESGOS
En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas,
sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la
Entidad, con el fin de medir el nivel del riesgo.
A) OBJETIVOS
La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una
amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de
desastre o una interrupción significativa en los servicios.
B) METODOLOGIA DE ANALISIS DE RIESGO
A continuación se detalla la Metodología de Análisis de Riesgos, la cual cubre los aspectos relacionados a continuación:
Identificación de riesgos de continuidad
Cálculo del riesgo inherente
Evaluación de controles
Cálculo del riesgo residual
Tratamiento del riesgo residual
IDENTIFICACION DEL RIESGO
El Líder de PCN de cada Área en conjunto con el Analista encargado de la Oficina de
Riesgos procede de la siguiente manera:
1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de
Análisis de Impacto del Negocio (BIA).
2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que
también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA).
3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para
ello, es necesario tomar como guía el anexo No. 8.4.1 denominado “Tipos de Amenazas”,
donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si
tales situaciones pueden darse en el proceso analizado.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 24 de 123
4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada.
Para identificarla es necesario responder esta pregunta: ¿Cómo puede ocurrir una
amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la
misma, evaluando si dentro del Instituto puede darse esa circunstancia.
Se recomienda utilizar como guía con el anexo No. 8.4.2 denominado “Tabla de
Vulnerabilidades”, donde se encuentra una relación de debilidades que podrían llegar a
generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía
pudiendo incluirse muchas otras situaciones de debilidades.
5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad.
6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo
con la tabla 8.4.2:
Personas
Infraestructura física
Infraestructura de tecnología de información
Procesos
CALCULO DEL RIESGO INHERENTE
El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el
impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En
consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los
numerales 8.4.3 “Criterios de Frecuencia” y 8.4.4 “Criterios de Impacto”, las cuales contienen
los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar
la evaluación.
Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la
siguiente escala de medición:
Escala de medición
1 2 3 4 5
Muy baja Baja Moderada Alta Muy alta
Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en
las diferentes vulnerabilidades que conforman el riesgo.
Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de
afectación sobre los siguientes factores de influencia:
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 25 de 123
Impactos Regulatorio/
Legal Financiero Servicio al
cliente Reputacional Operativo Humano Infraestructura
Para establecer el resultado del impacto para cada riesgo se toma la calificación del cuestionario BIA.
Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos
puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la
Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente
máximo es 25 y el mínimo es 1.
EVALUACION DE LOS CONTROLES
Este proceso permite evaluar todos los controles asociados a las vulnerabilidades
identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de
control para poder dar un adecuado tratamiento al riesgo.
Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales
se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100.
El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables:
Control no documentado, no aporta valor al total del criterio.
Control documentado, aporta al total del criterio una calificación de 8 puntos.
Control aprobado, aporta al total del criterio una calificación de 8 puntos.
Control divulgado, aporta al total del criterio una calificación de 4 puntos, para un total de
20 puntos.
El segundo criterio es la Aplicación, el cual aporta un total de 30 puntos, siendo necesario
seleccionar una de las tres (3) opciones, así:
El control nunca se aplica, no aporta valor al total del criterio.
Se aplica a discreción, arroja una calificación de 10.
Se aplica siempre, tiene una calificación de 30.
Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 26 de 123
Comprobada la efectividad, donde se debe contar con la evidencia física que dada la
aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es
de 50 puntos.
Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en
cuanto a la efectividad del control es positiva. La calificación es de 30 puntos.
Percepción negativa, donde la percepción del experto es negativa en cuanto a la
efectividad del control. La calificación es de 10 puntos.
Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo
para la prevención y detección de riesgos, dándole una calificación 0 puntos.
La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente
tabla:
Calificación del Control
Los controles se clasifican en:
Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con
que ocurren las causas del riesgo.
Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino
que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen
acciones sobre tales detecciones.
Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los
eventos que ponen en riesgo el logro de los objetivos del proceso.
Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se
agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual
manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.
CUADRANTES A DISMINUIR EN
LA FRECUENCIA
CUADRANTES A DISMINUIR EN
EL IMPACTO
Entre 0 - 50 0 0
Entre 51 - 75 1 1
Entre 76 - 100 2 2
DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O
IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION,
EVALUACION Y RESPUESTA A LOS RIESGOS
RANGO DE
CALIFICACION DE
LOS CONTROLES
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 27 de 123
CALCULO DEL RIESGO RESIDUAL Luego de la valoración de los controles se identifica el efecto de mitigación en frecuencia e
impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo
residual, así:
Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla
“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna
“Cuadrantes a disminuir en la frecuencia”. Este valor se resta a la frecuencia obtenida en
riesgo inherente.
De igual manera se procede con los controles dispuestos para disminuir el impacto del
riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla
“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna
“Cuadrantes a disminuir en el impacto”. Este valor se resta al impacto obtenido en riesgo
inherente.
Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los
controles, obteniendo así el Riesgo Residual.
El Riesgo Residual se ubica en la siguiente Escala de Clasificación del Riesgo:
Rango de calificación
de controlesFrecuencia
Cuadrante a
disminuir en la
Frecuencia
Valor Frecuencia
Residual
80 puntos 4 2 2
Calificación control
sobre ImpactoImpacto Efecto mitigación
Valor Impacto
Residual
60 puntos 3 1 2
NIVELCLASIFICACIÓN
0-3 Aceptable
4-6 Tolerable
7-15 Grave
16-25 Critico
Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual
4 3 12 2 2 4
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 28 de 123
Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en
cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles:
TRATAMIENTO DEL RIESGO RESIDUAL A partir de la evaluación y análisis de los riesgos, se priorizan de mayor a menor “criticidad”, a
fin de tomar decisiones de cómo actuar sobre los mismos. Esta metodología pretende actuar
sobre los riesgos que estén fuera del rango de aceptabilidad. El tratamiento del riesgo residual
debe ir orientado a cualquiera de las siguientes opciones:
Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión
administrativa.
Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la
implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o
minimizar la severidad de su impacto.
Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en
diversos lugares, procesos o personas.
Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la
responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias
financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el
impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros,
Subcontrataciones.
0
1
2
3
4
5
0 1 2 3 4 5
FR
EC
IUE
NC
IA
IMPACTO
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 29 de 123
Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son
atractivos en relación con los riesgos involucrados.
Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder
de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad
a través de la creación de nuevos controles o la implementación de modificaciones a los
controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se
reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones
respectivas para su tratamiento y mitigación.
Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por
los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento
en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de
realizar la respectiva reclasificación y acordar acciones.
C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD
Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para
determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se
requieren para la continuidad del negocio.
El Líder de PCN efectúa seguimiento permanente sobre la implementación de los planes de
acción y la verificación de la efectividad de los controles y a la vez identificando nuevos
riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Líder de
PCN de cada una de las áreas con apoyo del Funcionario Responsable en la Oficina de
Riesgos y éste es aprobado por el Líder del Proceso. Este monitoreo se realiza en la Matriz
de Riesgo de PCN.
Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las
medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al
riesgo fijado por la Entidad.
D) REPORTE DE INCIDENTES DE CONTINUIDAD
Los incidentes que afecten la continuidad de la operación deben ser reportados por los
Líderes de PCN a la Oficina de Riesgos, a través del formato “Reportes de Incidentes de
Contingencia” (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la
ocurrencia del hecho.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 30 de 123
7.1.3 ETAPA DE ESTRATEGIA
A) CONCEPTO
Corresponden a las acciones que se deben tomar con el objetivo de restablecer las
operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o
falla en los procesos o funciones críticas.
Es necesario identificar las diferentes estrategias de continuidad y seleccionar las más
adecuada para la institución, para lo cual el Líder de PCN de cada área junto con el
Profesional del tema en la oficina de Riesgos analizarán las variables de:
La criticidad del proceso a proteger
El costo de la estrategia
El tiempo de recuperación objetivo (RTO)
B) OBJETIVOS
Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible,
con un aceptable nivel de servicio.
Garantizar que los Empleados:
Estén protegidos Comprenden su papel Saben a dónde ir Saben qué hacer Saben qué recursos necesitan Entienden la secuencia de las tareas críticas
Ayudar a planificar la recuperación y reanudación de las operaciones.
Validar asuntos de recuperación de la Entidad, como:
Necesidades de telecomunicaciones durante y después del desastre. Lugar alterno para continuidad/recuperación y reanudación.
C) ALCANCE
La selección de los métodos alternativos de operación que deben ser utilizados ante una
interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 31 de 123
Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son:
Ausencia de personal
Sitio alterno
Fallas tecnológicas
D) ESTRATEGIAS POR AUSENCIA DE PERSONAL
Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
El colaborador ausente activa la Cascada Telefónica y se comunica con el Jefe inmediato.
El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por
“Ausencia de Personal”. Distribuye procesos claves o asigna funciones al colaborador Back
- up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de
perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de
información.
El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos.
El documento denominado Cascada Telefónica cuenta con la información básica de los
colaboradores y proveedores con el ánimo de utilizarlos en un evento de contingencia, como
es:
Funcionarios: Mantener la información de los colaboradores permite comunicarse con ellos en
el evento que se encuentren fuera de las instalaciones.
Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la
información de contacto.
Cada área cuenta con la información de “Cascada Telefónica”, la cual está conformada por:
Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de
teléfono personal y sí fue definido como personal crítico para operar la contingencia o no.
Se encuentran descritos en el orden que serán llamados ante un evento.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 32 de 123
Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la
ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán
en la contingencia por cada procedimiento.
Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor,
nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto
personal, teléfono de la oficina y móvil y correo electrónico.
En el numeral 8.5.3 se encuentra el formato de Cascada Telefónica. La información de
Cascada Telefónica de cada área la conserva el Líder de PCN y la consolidación de la misma
reposa en la Oficina de Riesgos.
E) ESTRATEGIA DE SITIO ALTERNO
La alternativa de traslado del personal se presenta en el evento que los funcionarios no
puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de
contingencia permitiendo la continuidad de las operaciones de los procesos críticos del Icetex
desde un sitio alterno de operación.
Las alternativas podrán ser usadas simultáneamente dependiendo de la disponibilidad del
proveedor en el momento de la interrupción del Icetex, además depende de la activación y
numero de procesos que se activen según el evento y el día en que se presente.
El numeral 8.3.1 “Procedimiento de Estrategia de Sitio Alterno”, aporta las actividades que se
deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones
alterno.
F) ESTRATEGIA TECNOLOGICA
La contingencia se presenta cuando el hardware y/o software presenta fallas, o por
interrupción prolongada de telecomunicaciones.
La Dirección de Tecnología tiene estructurado el siguiente Plan de Continuidad para los
aplicativos e infraestructura de la Entidad:
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 33 de 123
Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de
contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos),
como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen.
El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este
documento.
Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por
problemas en los sistemas, descrito en el numeral 8.3.2.
G) ESTRATEGIA CONTINGENCIA MANUAL
Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para
operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se
estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que
permitan operar sin un sistema base.
Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias
manuales que se disponen en el numeral 8.2 de este documento.
Red
Centro
Computo
Servidor
Switches Centro cableado HUB Firewall
C&CTEX Apoteosys Mercurio Cobol Bizagi Sevimpro Correo
Electrónico
APLICATIVOS
RED LAN
RED WANTelecomunicaciones
ETB
Routers Enlaces
Aire acondicionado Sistema de incendio Sistema eléctrico UPS
Base de datos Sistema operativo – Software base de datos Servidor Hardware
INFRAESTRUCTURA
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 34 de 123
7.1.4 ETAPA DE PRUEBAS
A) CONCEPTO
Consiste en probar la efectividad de las estrategias diseñadas y permitir el continuo
mejoramiento del PCN de la Entidad. Esta etapa le da a la Institución la oportunidad de
identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser
atendidas, preparando el negocio para la emergencia real.
B) OBJETIVOS
Practicar los procedimientos ante un incidente o desastre.
Identificar áreas que necesitan mejora.
Permitir al PCN permanecer activo, actualizado, entendible y usable.
Demostrar la habilidad de recuperación.
C) ALCANCE DE LAS PRUEBAS
Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación
normal sean mínimas y deben comprender los elementos críticos y simular condiciones de
proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir
las siguientes tareas:
Verificar la totalidad y precisión del Plan.
Evaluar el desempeño del personal involucrado.
Evaluar la coordinación entre los miembros del grupo de contingencia, proveedores y otros
terceros.
Identificar la capacidad de recuperar registros e información vital.
Medir el desempeño de los sistemas operativos y computacionales.
Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados,
planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una
revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 35 de 123
D) TIPO DE PTUEBAS
En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las
pruebas del plan de continuidad de negocio del Icetex:
E) PLAN DE PRUEBAS
Para la realización de una Prueba de Estrategia de Continuidad es necesario diligenciar el
documento “Plan de Pruebas” (ver anexo No. 8.5.4), conformado por los siguientes pasos:
Guion de pruebas: Es el documento mediante el cual se plasma la intención de efectuar la
revisión de la estrategia de continuidad estimada para el proceso o servicio determinado,
donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de
interrupción, los resultados esperados, los integrantes de las pruebas y los riesgos
asociados a la ejecución de la prueba. Este documento debe desarrollarlo previo a la
ejecución de la prueba el Líder de PCN responsable del proceso a probar con la guía del
funcionario encargado en la Oficina de Riesgos.
Paso a paso de la planeación: Este documento relaciona las actividades a efectuar durante
la prueba, indicando además los responsables de realizar tales actividades así como los
recursos mínimos necesarios y los tiempos de su realización, para la estimación completa
TIPO DE
PRUEBA
TECNICA
UTILIZADA
OPERACIÓN
Integrada Creación de un
escenario
Seguimiento en
vivo de todas las
estrategias re
recuperación
Con previo aviso.
Apoyo de los
proveedores de
recuperación
Prueba integrada con todos los
elementos que hacen parte del
plan de contingencia.
Componentes Creación de un
escenario
Seguimiento de
las estrategias de
recuperación
Con previo aviso.
Se ejecutan las estrategias y
procedimientos de recuperación
de cada uno de los componentes
de la infraestructura tecnológica.
Escritorio Con previo aviso.
Creación de un
escenario.
Se realiza un ejercicio de papel
de un escenario de desastre que
toma lugar en un salón de
conferencia.
Prueba Integrada
Pruebas Componentes
Pruebas de Escritorio
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 36 de 123
del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son
necesarios para la adecuada realización de la prueba. Al igual que en el anterior ítem, este
informe debe ser adelantado previo a la ejecución de la prueba por el Líder de PCN
responsable del proceso a probar con la guía del funcionario encargado en la Oficina de
Riesgos.
Paso a paso de la ejecución: Este documento contiene las actividades realizadas en el
desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se
presenten algún incidente dentro de la prueba. Adicionalmente, se describen los recursos
mínimos necesarios, los responsables y los tiempos de ejecución de las actividades. Este
informe es elaborado en el momento de la prueba por el Líder de PCN responsable del
proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.
Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan
para retornar a la operación normal, caso devolución a los puestos de trabajo, captura de
las operaciones que no se procesaron en un aplicativo, entre otras.
Encuesta de satisfacción: Este informe lo realizan diferentes integrantes de la prueba,
donde se busca determinar el grado de satisfacción de la prueba. La conforman aspectos
como: duración de la prueba, preparación de la prueba y la comunicación de la misma, y
dificultades que se identificaron.
Acta de reunión: En este documento se establecen los objetivos, conclusiones de la
prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros
obtenidos en la ejecución de la prueba y los riesgos asociados identificados en la ejecución
de la prueba, así como las acciones mitigantes que mejorarán la estrategia de continuidad
del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la
prueba.
Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento “Acta de
reunión” dirigido a los participantes y al jefe responsable de proceso.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 37 de 123
7.1.5 ETAPA DE MANTENIMIENTO
A) CONCEPTO
Es la revisión periódica de lineamientos, estrategias, técnicas y planes, capacitación a
personal para que el PCN permanezca actualizado con el objetivo de ser capaz de lograr la
recuperación de actividades de misión crítica dentro de los objetivos de tiempo de
recuperación asegurando una continuidad de sus servicios y productos.
B) OBJETIVOS
Verificación y validación de lineamientos, estrategias y planes de PCN.
Detalles de todos los cambios de estrategias del PCN con el historial de control de
versiones.
C) FACTORES DE ACTUALIZACION
Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de éste, que
afectan el PCN. A continuación se relaciona una lista de eventos que pueden generar una
revisión al PCN:
Requerimientos legales.
Nuevos productos.
Nuevo hardware, plataformas, aplicativos u otros cambios de tecnología (Sistemas
Operativos, Bases de Datos).
Cambios en las telecomunicaciones (voz o datos).
Quiebra y/o cambio de un proveedor crítico.
Cambio de instalaciones.
Cambios en el personal o reubicación del mismo.
Transferencia de funciones entre sitios existentes.
Consolidación o tercerización de funciones.
Cambios en proveedores externos críticos.
Resultados de las pruebas del Plan de Continuidad del Negocio.
Cambios en el Sistema de Gestión de Calidad y Procesos.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 38 de 123
7.2 FASE DE ADMINISTRACION DE CRISIS
7.2.1 CONCEPTO
En esta fase se gestiona efectivamente el manejo de la crisis, durante y después de la misma; un
buen manejo de la crisis minimiza los impactos de una interrupción.
7.2.2 OBJETIVOS
Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.
Identificar tipos de emergencias y las respuestas necesarias.
7.2.3 ALCANCE
Este plan de administración de crisis se ejecuta teniendo como premisa las decisiones del
Comité SARO- SARLAFT. Todas las comunicaciones serán dirigidas por el responsable de
comunicaciones del Instituto y se apoyarán en el Manual de gestión de la comunicación en
situaciones de crisis.
Los documentos indicados en los numerales 8.3.1 y 8.3.2 “Escenario de contingencia a sitio
alterno” y “Manejo de incidentes por problemas en los sistemas”, sintetizan esta fase, la cual está
conformada por las siguientes etapas:
Etapa de Evaluación: La evaluación constituye la etapa de valoración preliminar de un evento de interrupción que afecta de forma considerable la Entidad. La evaluación se hace en sitio, teniendo en cuenta los perfiles y competencias necesarios para determinar: causa de la interrupción, población de usuarios afectada, apreciación de la magnitud, valoración del daño, escenario de soluciones, recursos involucrados y tiempo estimado de la solución. Etapa de Activación: Se describen las actividades requeridas para declarar y comunicar el desastre de forma tal que se active la contingencia y se comunique la interrupción a los equipos responsables de recuperar el servicio. Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para restaurar la operación a la normalidad, una vez superada la contingencia y recuperados los servicios de la entidad.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 39 de 123
8 ANEXOS
8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA
Estrategia PCTI – Base de Datos
Estrategia Red WAN
Estrategia Red LAN – Switches
Estrategia – Sistema Operativo – Software de Base de Datos
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 40 de 123
ESTRATEGIA TECNOLÓGICA DE BASE DE DATOS
1. OBJETIVO
Recuperar un servidor de base de datos por daño en el sistema manejador de la base de datos que se encuentra en el centro de cómputo ICETEX. 2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por una base de datos.
Falla a nivel de Software de Base de datos.
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte y Carta de Servicio ORACLE o MS SQL Server
4. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 41 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
No. Act
Descripción de la Actividad
Observaciones Responsable Recursos requeridos y ubicación
1 Identificar la falla y realizar un diagnóstico interno
Administrador de la base de datos
2
Llamar al CONTRATISTA responsable del mantenimiento
Llamar a las líneas: Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Dirección de Tecnología (Continuidad_de_negocio)
Administrador de la base de datos
Contrato
3 Diagnóstico de la situación.
Se efectúa un diagnóstico del estado de la base de datos.
Administrador de la base de datos y/o contratista
4
¿Se puede recuperar el servicio en la misma máquina?
De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio. En caso afirmativo pasa al punto 5 de lo contrario al punto 6.
Administrador de la base de datos y/o contratista
5 Proceder a Se restablece el servicio en el mismo Administrador de la
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 42 de 123
restablecer el servicio
servidor y se pasa al paso 10 base de datos y/o contratista
6 Recuperar la hoja de vida de la base de datos
La extraerá del repositorio Continuidad_de_negocio de plantillas de hojas de vida de las bases de datos.
Administrador de la base de datos, Coordinador de infraestructura, o el Director de tecnología
7 Crear la base de datos en el servidor de contingencia.
Toma la hoja de vida y con los comandos de la consola de administración crea la base de datos con los parámetros descritos en la hoja de vida.
Administrador de la base de datos.
8 Recuperar ultima copia de la base de datos.
Tomar ultima copia de seguridad disponible de la base de datos y proceder a su restauración en la base de datos creada recientemente.
Administrador de la base de datos.
9 Definir los usuarios del sistema en el nuevo servidor.
Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignándoles los perfiles requeridos
Administrador de la base de datos.
10 Verificar que la base de datos opera adecuadamente.
Si los resultados son satisfactorios se sigue al paso 11, sino vuelve al paso 4.
Administrador de la base de datos
11
Se informa al Coordinador de Infraestructura o al Director de Tecnología del restablecimiento del servicio
Reporte de funcionamiento y se documenta el proceso efectuado.
Administrador de la base de datos.
12 Reporte de servicio restablecido.
El Coordinador de Infraestructura o el Director de Tecnología, informan que la contingencia ha sido superada.
Coordinador de Infraestructura, Administrador de la Red o el Director de Tecnología
5. SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
COMO EJERCER EL CONTROL
EVIDENCIA DEL CONTROL
RESPONSABLE
6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
V1 10/12/2012 Creación del documento.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 43 de 123
ESTRATEGIA TECNOLÓGICA DE RED WAN
1. OBJETIVO
Recuperar un enlace de comunicación entre una sede regional y el nodo central 2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
Daños o fallas en algún enlace que afecte servicios dentro de los cuales esta soportado por la red WAN.
3. DEFINICIONES
N/A 4. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo) 5. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 44 de 123
ACTIVIDADES
ACTIVIDADES Ó TAREAS
No. Act
Descripción de la Actividad
Observaciones Responsable Recursos requeridos y ubicación
1
Identificar la falla y realizar un diagnóstico interno
Profesional Dirección de tecnología y Proveedor de servicios de la red
2 Llamar al CONTRATISTA
Llamar a las líneas: - Las que se encuentren en el
documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos
Coordinador de Infraestructura o Profesional de Dirección de tecnología
Contrato (Anexo 1)
3
Diagnóstico de la situación por parte del administrador de la red o del contratista
Se efectúa un diagnóstico del estado del enlace de comunicaciones.
Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista
4
Se puede recuperar el servicio empleando el canal de contingencia
De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio
Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista
5 Proceder a restablecer el servicio
Se restablece el servicio y se pasa al paso 7
Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista
6
Establecer canal de comunicación alterno
Enviar equipo de trabajo, revisar el enrutador, el enlace, canal
Contratista
7 Validar la configuración
Establecer QoS, parámetros de configuración, enrutamiento, etc
Contratista
8 Verificar que el enlace opera adecuadamente
Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica
Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista
9
Se informa al Coordinador de infraestructura o al Director de tecnología, del
Reporte de funcionamiento y se documenta el proceso efectuado
Coordinador de Infraestructura o Profesional de Dirección de tecnología
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 45 de 123
restablecimiento del servicio
10 Reporte de servicio restablecido
El Coordinador de infraestructura o el Director de tecnología, informan que la contingencia ha sido superada.
Coordinador de infraestructura, Administrador de la red o el Director de tecnología
6. SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
COMO EJERCER EL CONTROL
EVIDENCIA DEL CONTROL
RESPONSABLE
7. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
V1
17/02/2013
Creación del documento.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 46 de 123
ESTRATEGIA TECNOLÓGICA DE LAN - SWITCHES
1. OBJETIVO
Recuperar un Switch que se encuentra en la red de ICETEX. 2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
Daños o fallas en alguno de los Switches.
Falla a nivel de Hardware o Software. 3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte y Carta de Servicio DSSP (Ver Anexo) 4. DESCRIPCIÓN
DIAGRAMA DE FLUJO
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 47 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
No. Act
Descripción de la Actividad Observaciones Responsable
Recursos requeridos y ubicación
1
Identificar la falla y realizar un diagnóstico interno
Administrador de la Red
2
Llamar al CONTRATISTA responsable del mantenimiento o tomar uno de los switch del stock disponible para asignar un recambio
Llamar a las líneas: - Las que se encuentren
en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Dirección de tecnología Continuidad_de_negocio contactos
Administrador de la Red
Contrato y carta de solicitud (Anexo 1)
3 Tomar el Swicth de recambio Administrador de la Red
4 Recuperar la plantilla de configuración
La suministrará el Coordinador de Infraestructura de Tecnología o el Director de tecnología, y este la ubicará en el repositorio Continuidad_de_negocio plantillas de configuración de los swicthes
Coordinador de infraestructura, Administrador de la red o el Director de tecnología
5 Resetear el swicth, y aplicar la plantilla de configuración
Toma la plantilla y con los comandos ::: proceder a cargarla en el Swicth de reposición
Administrador de la Red
6 Verificar que el swicth opera adecuadamente
Se conecta el switch y se efectúan las pruebas de enrutamiento necesarias.
Administrador de la red
7 El swicth opera adecuadamente
Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica
Administrador de la red
8
Se informa al Coordinador de infraestructura o al Director de tecnología, del restablecimiento del servicio
Reporte de funcionamiento y se documenta el proceso efectuado
Administrador de la Red
9 Reporte de servicio restablecido El Coordinador de Coordinador de
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 48 de 123
infraestructura o el Director de tecnología, informan que la contingencia ha sido superada.
infraestructura, Administrador de la red o el Director de tecnología
5. SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
COMO EJERCER EL CONTROL
EVIDENCIA DEL CONTROL
RESPONSABLE
6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
V1
29/05/2010
Creación del documento.
V2
17/08/2010
Ajustar procedimiento a formato.
V3 05/12/2012 Ajustar el procedimiento de acuerdo al análisis de impacto de negocio desarrollado y la nueva estrategia de outsourcing del centro de datos.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 49 de 123
ESTRATEGIA TECNOLÓGICA DE SISTEMA OPERATIVO – SOFTWARE DE BASE DE DATOS
1. OBJETIVO
Recuperar un servidor de base de aplicaciones por daño en el sistema. 2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por un servidor web o servidor de aplicaciones.
Falla a nivel de Software Base del servidor. 3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte servidores 4. DESCRIPCIÓN
ACTIVIDADES
ACTIVIDADES Ó TAREAS
No. Act
Descripción de la Actividad
Observaciones Responsable
Recursos requeridos y ubicación
1 Identificar la falla y realizar un diagnostico interno
Administrador servidores
2 Llamar al CONTRATISTA responsable del mantenimiento o
Llamar a las líneas: - Las que se encuentren en el
documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos
Administrador de servidores
Contrato
3
Diagnóstico de la situación por parte del administrador del servidor o del contratista
Se efectúa un diagnóstico del estado del software base.
Administrador del servidor
4 Se puede recuperar el servicio en la misma máquina
De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio
Administrador del servidor y/o contratista
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 50 de 123
5 Proceder a restablecer el servicio
Se restablece el servicio en el mismo servidor y se pasa al paso 9
Administrador del servidor
6 Recuperar la hoja de vida del servidor
La extraerá del repositorio de plantillas de hojas de vida de los servidores
Coordinador de infraestructura, Administrador del servidor o el Director de tecnología
7 Actualizar la configuración en el servidor de contingencia
Toma la hoja de vida y con los comandos de la consola de administración instala, configura los servicios con los parámetros descritos en la hoja de vida.
Administrador del servidor
8 Definir los usuarios del sistema en el nuevo servidor
Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignándoles los perfiles requeridos
Administrador del servidor
9
Verificar que el servidor la aplicación, el servidor web o servidor de aplicaciones opera adecuadamente
Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica
Administrador del servidor
10
Se informa al Coordinador de infraestructura o al Director de tecnología, del restablecimiento del servicio
Reporte de funcionamiento y se documenta el proceso efectuado
Administrador del servidor
11 Reporte de servicio restablecido
El Coordinador de infraestructura o el Director de tecnología, informan que la contingencia ha sido superada.
Coordinador de infraestructura, Administrador de la red o el Director de tecnología
5. SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
COMO EJERCER EL CONTROL
EVIDENCIA DEL CONTROL
RESPONSABLE
6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
V1
10/12/2012
Creación del documento.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 51 de 123
8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL
Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las siguientes estrategias manuales ante una contingencia cuyo escenario es falla de los sistemas con los que ejecutan la operación:
No. Contingencia manual a procedimientos Area
1. Resoluciones de giro por fallas del sistema C&CETEX Vicepresidencia de Fondos
2. Expedición del certificado de disponibilidad presupuestal ante la imposibilidad de operar en el sistema Apoteosys
Vicepresidencia Financiera
3. Registro presupuestal de compromisos ante la imposibilidad de operar en el sistema Apoteosys.
Vicepresidencia Financiera
4. Registro presupuestal de obligaciones ante la imposibilidad de operar en el sistema Apoteosys
Vicepresidencia Financiera
5. Análisis contable de causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys
Vicepresidencia Financiera
6. Giro por falla en el sistema Apoteosys Vicepresidencia Financiera
7. Generación de correspondencia externa ante imposibilidad de operar en el sistema mercurio
Secretaria General
8. Consulta de archivo Secretaria General
9. Pago de servicios públicos y administraciones ante la imposibilidad de operar en el sistema Apoteosys
Secretaria General
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 52 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE RESOLUCIONES DE GIRO POR FALLAS DEL SISTEMA C&CETEX Macro proceso: Otorgamiento de Productos Proceso: Gestión de legalización y renovación para aprobación del desembolso 1. OBJETIVO
Obtener un plan de contingencia para el procedimiento crítico de Resoluciones de Giro en la Vicepresidencia de Fondos por fallas del sistema C&CETEX.
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el que la Vicepresidencia de Fondos en Administración determinará los Giros urgentes a emitir en el día, de acuerdo con los compromisos contraídos con los Constituyentes y sobre esta decisión informará al personal encargado para que procedan a aplicar la contingencia.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con el reporte de “Faltantes de
Giro” de la Vicepresidencia de Fondos en Administración, actualizado a fecha del día anterior,
para lo cual es necesario que el funcionario designado genere al final del día este reporte y lo
guarde en la Carpeta Compartida de la Vicepresidencia de Fondos, debidamente protegido
para que no sea posible su manipulación por ninguna persona.
Los giros propuestos a gestionar deberán haber cumplido con las siguientes condiciones para
iniciar el proceso de giro:
o Hallarse la documentación soporte en la Entidad,
o Encontrarse en el sistema C&CETEX con los estados de: “Autorizado”, “Concepto jurídico
viable” o “Renovado IES”.
4. DESCRIPCION
4.1 ACTIVACION DE LA CONTINGENCIA - GENERACION DEL GIRO
Encargado del Fondo / Vicepresidencia de Fondos en Administración
4.1.1 Cumplido el Procedimiento de Legalización de Crédito Educativo, se recepciona por parte
del Constituyente la autorización con la relación de los Beneficiarios autorizados para que se
les desembolse, documento debidamente firmado por el funcionario autorizado en el Fondo.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 53 de 123
4.1.2 Ingresar a la dirección de “Carpeta Compartida de Fondos” y seleccionar el reporte “Faltantes
de Giro”, que contiene la información de los Beneficiarios que se encuentran en las
condiciones indicadas en el numeral 3. Proceder a filtrar la información con la información de
los Beneficiarios a gestionar el giro de acuerdo al rubro a pagar.
4.1.3 Revisar que los datos del Beneficiario autorizado en el documento de Autorización de
Beneficiarios contenga la misma información que se encuentra en el Reporte de Faltantes de
Giro: nombre del beneficiario, universidad, programa, valor aprobado para el giro.
4.1.4 Si la revisión es coincidente proceder a diligenciar el formato F135 “Formato de Autorización
de Giros – Vicepresidencia de Fondos en Administración. Esta planilla debe firmarla en
constancia de elaboración.
4.1.5 En caso que se presente diferencia en la información, es necesario solicitar aclaración con el
Constituyente a través de correo electrónico.
4.1.6 Entregar al Técnico Administrativo los siguientes documentos: Formato F135 “Formato de
Autorización de Giros – Vicepresidencia de Fondos en Administración” y documento de
Autorización de Beneficiarios por parte de Constituyente.
Técnico Administrativo / Vicepresidencia de Fondos en Administración
4.1.7 Elaborar por cada orden de giro, el Formato “Resolución Giro Contingencia C&CETEX” con
los datos indicados en el formato 135.
4.1.8 Revisar el Formato “Resolución Giro Contingencia C&CETEX” contra el formato F135
“Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración,
verificando que los datos que componen la orden de resolución coincida la información que
reposa en el reporte de faltantes.
4.1.9 Las ordenes de resolución cuya información es igual, serán firmadas por el Técnico
Administrativo, en el campo de “Elaboro”.
4.1.10 Aquellas resoluciones que difiere la información debe corresponder a equivocación en la
emisión de la orden de resolución, por cuanto es necesario corregir las órdenes y volver a
imprimir y firmar.
4.1.11 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Encargado del Fondo.
Encargado del Fondo / Vicepresidencia de Fondos en Administración
4.1.12 Revisar la ordenes de resoluciones de giro garantizando su correcta emisión, en constancia
firma en el campo “Reviso” de dicho documento.
4.1.13 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Coordinador.
Coordinador / Vicepresidencia de Fondos en Administración
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 54 de 123
4.1.14 Revisar el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en
Administración”, la orden de resolución de giro, el Formato “Resolución Giro Contingencia
C&CETEX” y la Autorización del Fondo con la relación de los beneficiarios contra el Reporte
de Faltantes de Giro, verificando la consistencia en la información.
4.1.15 De encontrarla correcta, proceder a firmar la Planilla 135 “Formato de Autorización de Giros –
Vicepresidencia de Fondos en Administración” y la “Resolución Giro Contingencia C&CETEX”.
4.1.16 De encontrar algún tipo de inconsistencia, debe rechazar la orden de resolución y solicitar
aclaración al Funcionario encargado del Fondo.
4.1.17 Entregar la documentación correspondiente a las Órdenes de Resolución de giro autorizadas
al Vicepresidente de Fondos en Administración, quien realiza una última verificación de la
información y firma como Ordenador del Gasto. Estos documentos son devueltos al
Coordinador responsable del Fondo.
4.1.18 Actualizar los giros ordenados en el Reporte de Pendientes, diligenciando los siguientes
campos:
Fecha orden de resolución: Años, mes y día (AAAA/MM/DD) de la solicitud de emisión de
la orden de giro.
Elaborado: Nombre y apellido del Funcionario encargado del Fondo que está solicitando la
orden de resolución de giro.
Técnico Administrativo / Vicepresidencia de Fondos en Administración
4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo
“Fecha de resolución” y proceder a generar un archivo independiente con las resoluciones de
desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura
requerida por el sistema Apoteosys, información que reposa en el Reporte de Pendientes de
Fondos.
4.1.20 Entregar las Órdenes de Resolución y el formato F135 “Formato de Autorización de Giros –
Vicepresidencia de Fondos en Administración” al Grupo de Presupuesto de la Vicepresidencia
Financiera, para su cumplimiento.
4.2 CARGE DEL ARCHIVO EXCEL CON INFORMACION DE LAS RESOLUCIONES DE
DESEMBOLSO AL MAESTRO DE RESOLUCIONES DE APOTEOSYS
Técnico Administrativo / Vicepresidencia de Fondos en Administración
4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las
instrucciones dadas por la Dirección de Tecnología. 4.3 RETORNO A LA NORMALIDAD – SISTEMA C&CETEX
Dirección de Tecnología
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 55 de 123
4.3.1 Una vez restablecida la incidencia presentada en el aplicativo C&CETEX, la Dirección de Tecnología efectuará la actualización de las ordenes de resoluciones emitidas que ya han sido cargadas en el sistema Apoteosys.
4.3.2 Informar a la Oficina de Riesgos la actualización del aplicativo C&CETEX y su restablecimiento.
Oficina de Riesgos
4.3.3 Avisar a la Vicepresidencia de Fondos en Administración el restablecimiento del sistema C&CETEX y el Vicepresidente informe al personal del área y puedan ingresar a dicho aplicativo.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 56 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE EXPEDICION DEL CERTIFICADO DE DISPONIBILIDAD PRESUPUESTAL ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal
1. OBJETIVO
Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para
desarrollar el procedimiento de Expedición del Certificado de Disponibilidad Presupuestal (CDP),
donde se emite el documento que garantiza la existencia de apropiación presupuestal disponible,
para la asunción de compromisos o traslados con cargo al presupuesto de la respectiva vigencia
fiscal.
2. ALCANCE
Este procedimiento se utiliza ante la activación de contingencia dada por la Oficina de Riesgos,
caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera
determina los Certificados de Disponibilidad Presupuestal a emitir en el día, de acuerdo con las
necesidades de las diferentes áreas de la Entidad y sobre esta decisión informa al personal del
Grupo de Presupuesto para que procedan a aplicar esta contingencia.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de
Ejecución Presupuestal y Base de Datos de los CDP’s (Control dual), debidamente
actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo
de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada
“Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir
su manipulación por ninguna persona ajena al área.
4. DESCRIPCIÓN
Ordenador del gasto
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 57 de 123
4.1 Realizar solicitud de CDP (Certificado de Disponibilidad Presupuestal) dirigido al Coordinador de
Presupuesto por medio de memorando, el cual es firmado directamente por el Ordenador del Gasto.
Funcionario Encargado / Grupo de Presupuesto
4.2 Recibir memorando y verificar que se encuentre la siguiente información: Descripción del gasto,
vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas
condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de
Presupuesto.
Coordinador / Grupo de Presupuesto
4.3 Revisar rubro presupuestal y saldo vigente en el Informe Base de Datos de los CDP’s (Control dual)”;
para lo cual procede así:
4.3.1 Si existe rubro presupuestal y vigencia: Entregar al Funcionario Encargado para continuar el proceso.
4.3.2 Si el gasto no está contemplado para la vigencia en curso: Informar al Ordenador del Gasto de la no
existencia del mismo a través de correo electrónico y en consecuencia se devuelve.
4.3.3 En caso de no existir apropiación vigente no afectada: Revisar al interior del rubro mayor la posibilidad
de realizar ajuste:
De ser posible la modificación del rubro mayor: Efectuar novedad en el Reporte de Informe de
Ejecución Presupuestal, guardando el equilibrio al interior del rubro mayor. Los documentos
soportes son entregados al Funcionario Encargado.
En caso de no ser posible la modificación al rubro mayor y existir disponibilidad en otro rubro,
seguir el procedimiento de “Modificación al Presupuesto”.
Funcionario Encargado / Grupo de Presupuesto
4.4 Ingresar en el reporte “Base de Datos de los CDP’s” (Control dual)”, la información relacionada con el
objeto asociado de la solicitud y el valor requerido.
4.5 Emitir CDP manualmente, con la información del objeto, valor y rubros presupuestales afectados.
Coordinador / Grupo de Presupuesto
4.6 Revisar el CDP en físico y verificar que su contenido sea el mismo de la solicitud realizada.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 58 de 123
4.7 Si la información es correcta, firmar el CDP; en caso contrario, solicitar su corrección al Funcionario
Encargado.
Funcionario Encargado / Grupo de Presupuesto
4.8 Entregar al Ordenador del Gasto solicitante el CDP original mediante comunicación firmada por el
Coordinador del Grupo de Presupuesto. Debe mantenerse una copia del CDP en el Grupo de
Presupuesto de la Vicepresidencia Financiera, con el sello de recibido del área ordenante.
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina
de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización
manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1 Registrar la información del CDP emitido, afectando el rubro presupuestal con el que se
emitió el documento.
5.2 Modificar el rubro presupuestal en caso que se hayan realizado ajustes.
6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
1 15/11/2012 Documento inicial
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 59 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE COMPROMISOS ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO
Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para
desarrollar el procedimiento de Registro Presupuestal de Compromisos, documento mediante el
cual se afecta de forma definitiva la apropiación presupuestal.
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina
las solicitudes de suscripción de compromisos a emitir en el día, de acuerdo con las necesidades
urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de
Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de
contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día,
atendiendo en orden de prioridad.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDP’s
(Control Dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la
Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta
del Coordinador denominada “Reportes Consulta”, documentos a conservar debidamente
protegidos para que no permitir su manipulación por ninguna persona ajena al área.
No se puede generar ningún compromiso presupuestal sin contar con el respectivo CDP (Certificado de Disponibilidad Presupuestal).
4. DESCRIPCIÓN
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 60 de 123
Ordenador del Gasto
4.1 Enviar documento soporte del compromiso al Coordinador del Grupo de Presupuesto para su registro
presupuestal, adjuntando los siguientes documentos: Certificado de Disponibilidad Presupuestal,
documentación soporte del compromiso (contrato, convenio, ordenes, etc.) y autorización de las
vigencias futuras si las hay.
Coordinador de grupo / Grupo de Presupuesto
4.2 Recibir y verificar que los documentos:
Sean correctos y que los valores en ellos consignados sean los mismos.
Sean congruentes el objeto del contrato contra el CDP.
Contenga la imputación presupuestal y la vigencia.
Se encuentre firmado por los funcionarios autorizados.
De encontrar correcta la información entrega al Funcionario Encargado; sí contiene inconsistencias
devuelve al Ordenador del Gasto.
Funcionario Encargado / Grupo de Presupuesto
4.3 Verificar en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos) y la
Base de datos de los CDP’s (Control Dual), si existe saldo a comprometer del CDP en el respectivo
rubro, donde se ubica el compromiso suscrito, procediendo así:
4.3.1 Si existe saldo a comprometer en el CDP:
Calcular el valor a descontar del saldo.
Registrar la información del compromiso en la Base de datos para control presupuestal de Compromisos
y Obligaciones (Pagos).
Sellar el registro presupuestal del compromiso, el sello contiene los siguientes datos:
o CDP: Corresponde al número de CDP (Certificado de disponibilidad presupuestal), que respalda
el compromiso.
o RP: El número de Registro Presupuestal se coloca de forma manual y lo conforma la fecha
(AAAAMMDD) y un consecutivo diario.
o Rubro: Indica el nombre del rubro presupuestal afectado por el gasto.
o Código: Indica el código del rubro presupuestal afectado por el gasto.
o Fecha: Indica la fecha en la cual se hizo el registro presupuestal del compromiso.
o Registrada por: Corresponde a la firma del Coordinador del Grupo de Presupuesto.
Así mismo, estampar el sello de “Presupuesto registrado” en cada folio del compromiso registrado.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 61 de 123
Emitir comunicación al Grupo de Contratación sobre la emisión de registro presupuestal
de compromisos y anexar los documentos soporte al registro presupuestal y entregar al
Coordinador de Presupuesto.
4.3.2 Si no existe saldo por comprometer en el CDP, elaborar memorando rechazando el procedimiento, el
cual se entrega al Coordinador del Grupo de Presupuesto.
Coordinador de Grupo / Grupo de Presupuesto
4.4 Las suscripciones de compromisos donde existe suficiente saldo del CDP, revisar el registro
presupuestal, firmar y remitir comunicación al Grupo de Contratación; de encontrar alguna
inconsistencia, solicitar corrección al Funcionario Encargado.
4.5 En caso de no existir el saldo en el CDP, revisar y firmar la comunicación de devolución al Ordenador
del Gasto.
Funcionario Encargado / Grupo de Contratación
4.6 Recibir y continuar con el procedimiento “Legalización de contrato u orden de compra o servicio” (A4-2-
01).
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la
Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la
actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1 Registrar la información del compromiso.
6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
1 15/11/2012 Documento inicial
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 62 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE OBLIGACIONES ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO
Obtener un plan de contingencia ante la imposibilidad de operar en el sistema apoteosys para desarrollar el procedimiento de registro presupuestal de obligaciones, documento donde se autoriza el pago del compromiso adquirido, garantizando que este solo se comprometerá para este fin.
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera
determina las órdenes de pago a atender en el día, de acuerdo con las necesidades urgentes
de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Presupuesto
para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia
se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en
orden de prioridad.
3. CONDICIONES GENERALES
Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos), debidamente actualizado y
armonizado a la fecha, la cual reposa en la Carpeta Compartida del Grupo de Presupuesto de
la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes
Consulta”, documento a conservar debidamente protegido para que no permitir su
manipulación por ninguna persona ajena al área.
Este procedimiento se rige por el Acuerdo 001 del 16 de junio del 2006, por el cual se aprueba el Estatuto de Presupuesto del ICETEX, en especial lo relacionado en el capítulo V, artículo 37.
4. DESCRIPCIÓN
Ordenador del Gasto
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 63 de 123
Si la obligación corresponde a fondos, seguir el procedimiento “Registro Presupuestal de Obligaciones de Fondos” (A2-1-09).
Si la obligación no corresponde a fondos, seguir el procedimiento “Legalización de contrato u orden de compra o servicio.” (A4-2-01).
Ordenador del Gasto - Ejecutor del Presupuesto
4.1 Realizar y revisar la Orden de Pago F50 manual. De acuerdo con la naturaleza del compromiso realiza la orden de pago acompañada de los soportes necesarios (factura, resumen de nómina, caja menor, fondos, resoluciones de giro, crédito TAE, Access, Fiduciaria, giros).
Funcionario Encargado / Grupo de Presupuesto
4.2 Recibir la Orden de Pago F-50 manual y los respectivos soportes.
4.3 Revisar la Orden de Pago F-50 manual y los respectivos soportes, de conformidad con el contrato y/o normas establecidas y que los valores en ellos consignados sean los correctos, procediendo así:
4.3.1 Si no tiene los respectivos soportes completos, devolver la Orden de Pago F-50 manual sin tramitar,
dándose como no recibida al Ordenador del Gasto o Ejecutor del Presupuesto.
4.3.2 De presentarse los documentos soportes completos y correctos, revisar en la Base de datos para Control
Presupuestal de Compromisos y Obligaciones (Pagos):
4.3.2.1 Existencia de compromiso por cumplir, es decir que haya la disponibilidad de recursos para efectuar ese
pago de acuerdo con el compromiso adquirido.
4.3.2.2 Disponibilidad del saldo.
4.4 Si en la revisión determina que carece de compromiso por cumplir, proceder a emitir comunicación al
Ordenador del Gasto, devolviendo la orden e indicando el motivo.
4.5 Las órdenes de recursos propios se registran en la Base de datos para Control Presupuestal de
Compromisos y Obligaciones (Pagos), donde se actualiza automáticamente el saldo con la obligación
que se está tramitando.
4.6 Colocar sello de registro de obligación a la orden de pago, conteniendo la fecha de registro de obligación, e indica que los documentos ya fueron tramitados por el Grupo de Presupuesto.
Coordinador de Grupo / Grupo de Presupuesto
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 64 de 123
4.7 Aquellas órdenes a devolver, verificar el motivo de la devolución junto con los documentos soportes, si es correcto, firmar comunicación al Ordenador del Gasto. En caso de encontrar inconsistencias en la devolución, informar al Funcionario Encargado para su corrección.
4.8 Las ordenes que cumplen con las condiciones de existencia de compromiso por cumplir,
revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos) su correcto registro; de estar en orden firmar la orden de pago F-50 manual en el campo denominado “Presupuesto”.
Analista 3 / Dirección de Contabilidad
4.9 SI se requiere causar sigue el procedimiento “Análisis contable de causaciones y cuentas por pagar”
(A2-3-10).
Profesional Universitario 1 Analista 3/ Dirección de Tesorería
Seguir procedimiento “Giro” (A2-2-04).
Analista 3 / Dirección de Contabilidad
Si hubo causación ingresa al aplicativo de Apoteosys y cancela las cuentas por pagar.
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en este sistema con las actividades que se realizaron en contingencia:
5.1 Ingresar los registros de las obligaciones realizadas. 5.2 Verificar que la Dirección de Contabilidad y la Dirección de Tesorería se haya causado la obligación y
realizado el pago respectivamente, de tal manera que si se realizó el giro, haya descontado del saldo
de la obligación el valor correspondiente y en caso de rechazo mantenga su saldo.
6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
1 15/11/2012 Documento inicial
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 65 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE ANALISIS CONTABLE DE
CAUSACIONES Y CUENTAS POR PAGAR ANTE IMPOSIBILIDAD DE OPERAR EN EL SISTEMA
APOTEOSYS
Macro proceso: Gestión Financiera
Proceso: Gestión Contable y Tributaria
1. OBJETIVO
Obtener un plan de contingencia para el procedimiento crítico de Análisis contable de
causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys,
garantizando el correcto registro contable y la razonabilidad de los movimientos generados a
partir de las cuentas por pagar con sus respectivos impuestos, teniendo en cuenta la
normativa contable vigente.
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de
Riesgos, caso en el cual se procederá así:
El Director de Tecnología definirá las medidas para apoyar la contingencia, así como
aquellas actividades necesarias para solucionar la situación generada en el aplicativo
Apoteosys.
El Director de Contabilidad de la Vicepresidencia Financiera determinará los registros
contables a efectuar en el día, de acuerdo con las necesidades de las diferentes áreas de
la Entidad y sobre esta decisión informará al personal encargado para que procedan a
aplicar esta contingencia.
3. CONDICIONES GENERALES
Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta y tercero, el
cual puede ser generado a partir del último backup del sistema o por la herramienta Biable.
Para ello, se contará con el apoyo de la Dirección de Tecnología, donde ejecutarán el
Procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del
Icetex.
La documentación soporte de la cuenta por pagar definida en los entregables establecidos
en el contrato u orden de servicio, debe estar completa y pre-validada por el Interventor que
le corresponda.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 66 de 123
La información del proveedor o contratista debe haber sido previamente verificada en
SARLAFT, dentro del proceso precontractual.
Los soportes de la cuenta de cobro o facturas deben ser entregados el mismo día en que
se genera la cuenta de cobro, previa revisión del Interventor que corresponda.
4. DESCRIPCIÓN
Coordinador de Tecnología / Dirección de Tecnología
Aplicar el procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex.
Técnico Administrativo / Dirección de Contabilidad
Recibir documentos del Grupo de Presupuesto y analizar los soportes recibidos validando la existencia del
contrato y que los soportes incluyan los valores relacionados en las cláusulas del contrato u órdenes de
compra o servicios que corresponda.
Si los documentos no están completos o hay extemporalidad en la entrega, solicitar la reversión de transacción
de registro presupuestal al Grupo de Presupuesto a través de correo electrónico.
Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta contable y tercero, situación que se
puede obtener a partir de la extracción directa de la base de datos del backup de la información con
apoyo de la Dirección de Tecnología o como segunda forma de generarlo a través del Reporteador
BIABLE.
Validar el origen de la cuenta:
Si el origen de la cuenta por pagar es un Fondo
Establecer la razonabilidad contable del movimiento, analizando a partir del estado de cuenta de los Fondos en
Administración, si el movimiento corresponde al registrado por el área de Fondos, datos que puede
observar en el Informe de Saldos y movimiento contables.
Efectuar liquidación de impuestos de conformidad con la norma contable y la reglamentación que para tal efecto
se encuentra establecida en el plan de cuentas financiero y el estatuto tributario y registrar la resolución
de giro que ampara la cuenta por pagar dentro del Informe de Saldos y movimiento contables.
Otras cuenta por pagar:
Consultar manualmente el “Auxiliar contable por tercero” dentro del Informe de Saldos y movimiento contables.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 67 de 123
Establecer el valor y oportunidad de liquidación de impuestos, haciendo verificación del clausulado contractual y
el pago de parafiscales. Verificar el registro del proveedor con sus obligaciones tributarias diligenciadas
dentro de la factura de proveedor, de acuerdo con el régimen tributario al cual pertenece,
estableciendo la razonabilidad contable del movimiento, analizando si el movimiento corresponde a una
provisión, gasto, anticipo o es un pago de impuestos.
Realizar la liquidación del pago de impuestos manualmente de conformidad con el análisis realizado y registrar el
movimiento de cuentas dentro del Informe de Saldos y movimiento contables.
Estampar el sello de “Contabilizado” en la Orden de Resolución u Orden de Pago, firmar y colocar la fecha de
procesado en la Dirección de Contabilidad.
Analizar el impacto del movimiento contable en los estados financieros y en los estados de cuentas de los fondos
en administración.
Entregar la Orden de Resolución u Orden de Pago y los documentos soportes a la Dirección de Tesorería para
que realice el giro.
Una vez realizado el desembolso de acuerdo con el procedimiento de “Giro” en la Dirección de Tesorería,
consolidar la información en el Informe de Saldos y movimiento contables.
5. RETORNO A LA NORMALIDAD
Técnico Administrativo / Dirección de Contabilidad
5.1 Una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, obtener los
nuevos saldos de las cuentas contables en el Informe de Saldos de movimientos contables.
5.2 Extraer los movimientos contables que se realizaron durante la contingencia, generando un
archivo plano y subirlo en el aplicativo Apoteosys por la opción de Interfaces.
5.4 Comparar los saldos contables generados en el sistema Apoteosys con los producidos en el
Saldos de movimientos contables, debiendo existir consistencia en la información. En caso de
existir diferencia es necesario establecer la diferencia y corregir.
6. 6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
1 22/10/2012 Documento inicial
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE GIRO ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 68 de 123
Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO
Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para
desarrollar el procedimiento de Giro, documento que integra las actividades a realizar para la
emisión de los diferentes pagos para cumplir con las obligaciones del Icetex.
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
situación donde el Director de Tesorería de la Vicepresidencia Financiera determina las
Resoluciones de Giro y Orden de Pago a emitir en el día, de acuerdo con las necesidades
urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de
Pagaduría para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de
contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día,
atendiendo en orden de prioridad.
3. CONDICIONES GENERALES
3.1 Para el desarrollo del giro a través de Transferencia Electrónica o Tarjeta Recargable, es
necesario contar con el formato del archivo plano de Archivo de Transferencias de los Portales Bancarios donde el Icetex tiene Cuentas Corrientes / Ahorros.
4. DESCRIPCIÓN
Coordinador Grupo de Presupuesto / Vicepresidencia Financiera
Sigue el procedimiento de Registro Presupuestal de Obligaciones.
Cuando es una resolución de giro de crédito pasa directamente a la actividad 4.1.
Director de Contabilidad / Vicepresidencia Financiera
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 69 de 123
Si es un giro de gastos al fondo o de funcionamiento sigue el procedimiento de Análisis contable de causaciones
y cuentas por pagar.
Técnico Administrativo / Grupo de Pagaduría / Dirección de Tesorería
4.1 Registrar hora y fecha de recepción de documentos de giro según corresponda:
En la hoja de ruta si se trata de Resolución de Giro.
En la “Relación de Órdenes de Pago” si se trata de órdenes de pago, donde adicionalmente se revisa que estén
como anexos los soportes requeridos, tales como: Cuentas de cobro, informe de actividades, facturas,
planillas, actas de recibo de satisfacción, certificaciones bancarias, etc.
Para cada uno de los casos relacionar en el archivo de Excel “Control de Ingreso”, los campos: Fecha y hora de
recepción, número de resolución Orden de Pago, Preparador asignado, oficina ordenadora del pago,
moneda en que se pagará y programa que afecta el pago.
Si se presenta alguna inconsistencia en la revisión y registro, se hace devolución a la Oficina Ordenadora del
Gasto para los respectivos ajustes copiando al Grupo de Presupuesto y Dirección de Contabilidad y
registrando la novedad en el archivo de “Control de Ingreso”.
4.2 Entregar los documentos al Preparador de Pagos asignado, según la tipología del pago, el recurso a
pagar y el tipo de moneda del pago.
Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería
4.3 Recibir las Ordenes de Pago y/ Resoluciones de Giro.
4.4 Verificar que los documentos estén firmados y los que se requieran estén causados y contengan los
soportes necesarios para realizar el pago. Así mismo, verifica que los valores de las órdenes de pago
y/o resoluciones de giro concuerden con los valores de los soportes anexados:
Si la información requerida para los giros está incorrecta o incompleta, debe devolverse a la Oficina
Ordenadora del Gasto para los ajustes respectivos copiando al Grupo de Presupuesto y Dirección de
Contabilidad.
Si la información es correcta, efectuar actividad 4.5.
4.5 Verificar los terceros a girar en el reporte en Excel “Atención de Embargos”, donde se encuentra la
relación de embargos requeridos por los Entes Judiciales:
Presenta embargos: Proceder de acuerdo a la Guía de Embargos publicada y su correspondiente
formato.
No presenta embargos, continua con la actividad 4.6.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 70 de 123
4.6 Clasificar el recurso a pagar: Propios, TAE, Fondos y verificar que la cuenta a debitar posea los recursos
disponibles.
4.7 Aplicar la guía correspondiente, de acuerdo con la tipología del pago:
Cheques de Gerencia: Proceder de igual manera con lo descrito en la Guía G59.
Transferencia Electrónica: Proceder de acuerdo con lo descrito en el numeral 5 de este
documento.
G61 Guía con Nota Débito
G63 Guía Tarjetas Recargables
5. GUIA DE PAGO DE TRANSFERENCIA ELECTRONICA
Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería
5.1 Llenar de forma manual el archivo plano de pagos denominado “Archivo de Transferencias”, según la estructura técnica de cada Banco, que se encuentra definido en el Grupo de Pagaduría.
5.2 Ingresar al Portal Bancario, identificándose con su usuario y dispositivo de seguridad asignado y
cargar el archivo plano “Archivo de Transferencias”. 5.3 Imprimir directamente del Portal Bancario el proceso de pagos definitivo, impresión que debe
contener la siguiente información:
Cuenta a debitar Icetex
Nombre del destinatario de cada giro
Identificación del destinatario de cada giro
Banco destino
Número de cuenta destino
Tipo de cuenta
Valor a transferir
Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería
5.4 Verificar y asignar el punteo del proceso de pagos definitivo a un funcionario diferente al que
Preparador de Pagos que lo elaboró, el cual verifica el Archivo de Transferencias cargado en el Portal Bancario contra los soportes físicos de cada pago.
Funcionario asignado de punteo / Grupo de Pagaduría / Dirección de Tesorería
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 71 de 123
5.5 Revisar los datos impresos del Portal Bancario frente a los soportes físicos de cada giro (Resolución de giro, Orden de Pago u otro documento soporte de la ordenación del giro), validando que coincida:
El número de identificación del beneficiario
Número y tipo de cuenta bancaria destino
Entidad bancaria destino
Valor del giro
5.6 Si se encuentra todo correcto, procede a firmar en señal de revisado, indicando fecha y número de registros verificados y novedades encontradas.
Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería
5.7 Asignar número de proceso mediante numerador y registrar en la Planilla de Control “Planilla Pagos.xls", la siguiente información: Consecutivo, tema, fecha pago, Fecha reproceso, No. de registros, Valor, Usuario preparador, Recurso, Novedades, Banco a debitar, Respuesta y Funcionario que puntea.
5.8 Ingresar al Portal Bancario a verificar que la cuenta seleccionada para el débito de los recursos
esté correcta, la información generada se encuentre acorde con los soportes ya verificados y punteados y realiza la aprobación del giro.
Director de Tesorería / Dirección de Tesorería
5.9 Ingresar al Portal Bancario correspondiente al pago preparado y verificar que los soportes recibidos tengan las firmas de quien realizó la preparación en el portal, la verificación de los registros y la firma del primer aprobador, valida el valor del lote en el portal contra el físico, cantidad de registros y nombre del lote. De encontrar todo en orden, procede con la autorización final del proceso.
Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería
5.10 Confirmar en el Portal Bancario que las aprobaciones hayan sido efectivas y el proceso no se
encuentra rechazado o declinado. 5.11 Generar y remitir vía correo electrónico al funcionario encargado de digitación, archivo de Excel
denominado “Formulación”, con los datos necesarios de los Giros realizados por la Entidad para desarrollar el Proceso de Digitación, para publicar en la Página Web del Icetex.
5.12. Continuar Procedimiento “Boletín de Tesorería”. 5.13 Tres días hábiles después de realizada la aprobación de la transferencia, procede a ingresar al
Portal Bancario por donde se realizó el pago y genera el archivo de respuestas que confirma las operaciones aprobadas y las rechazadas con su respectiva causal de no pago.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 72 de 123
6. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina
de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización
manual en dicho aplicativo de las actividades que se realizaron en contingencia, como son:
Procedimiento de Giro
Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería
6.1 Rechazar en el sistema las Órdenes de Pago y/o Resoluciones de Giros que se encuentran
incorrectas o incompletas y fueron devueltas al Ordenador del Gasto.
6.2 Si el pago a realizar corresponde a una Resolución ACCES, ingresa al aplicativo financiero y
confirma/ rechaza / aplaza las resoluciones de giro mediante la opción CONT152P6 – Confirmar
Resoluciones con detalles por categoría en Tesorería.
6.3 Si se trata de una Resolución diferente a ACCES, ingresar al aplicativo financiero y confirma/
rechaza / aplaza las Resoluciones mediante la opción CONT152P2 – Confirmación Resoluciones
en Tesorería.
6.4 Si se trata de una Orden de Pago, ingresar al aplicativo financiero y autorizar mediante la opción
TES015P2 –Autorización Financiera de Pagos, luego mediante la opción TES017P1 – Egresos,
se confirma el proceso de pago y genera el Comprobante de Egreso.
6.5 De ser necesario realizar anulación de alguna Orden de Pago se ingresa a la opción TES024P3
– Anular documentos de pago.
Guía de Transferencias Electrónicas
Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 73 de 123
6.6 Confirmar las Resoluciones por la opción “Confirmación de Desembolsos de Resoluciones” y las
deja en estado de giro confirmado.
6.7 Cargar Archivo de Respuestas en Apoteosys, aplicando los abonos confirmados y los rechazos,
debe validar el soporte bancario antes de efectuar la aplicación en Apoteosys con la causal
respectiva.
7. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
1 26/11/2012 Documento inicial
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 74 de 123
CONTINGENCIA DEL PROCEDIMENTO DE CORRESPONDENCIA EXTERNA – SECRETARIA GENERAL Macroproceso: Gestión Documental Proceso: Gestión de Correspondencia 1. OBJETIVO
Describir la contingencia del procedimiento de Correspondencia Externa, considerando los
escenarios de causas de interrupción, los contactos de personal y los recursos mínimos
necesarios.
2. ALCANCE
El documento cubre la contingencia de correspondencia externa, así:
Correspondencia recibida: Va desde su recepción en el punto de Correspondencia del Icetex
en Bogotá o en los Centros de Atención Nacional (CAN) hasta su entrega al área destino para
su atención.
Correspondencia enviada: Su alcance inicia con la emisión del oficio en las áreas del Icetex y
culmina en la entrega del mismo al Operador de Servicio Postal.
3. EVENTOS DE CONTINGENCIA
A continuación se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupción de la operación:
3.1 CONTINGENCIA POR AUSENCIA DE PERSONAL
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo
de Correspondencia de Secretaria General (Ver Planilla de Contactos Grupo de
Correspondencia – Secretaria General).
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 75 de 123
3.1.2 El Coordinador del Grupo de Correspondencia activa la contingencia por “Ausencia de personal”
y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna
funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de
Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato
asignación de accesos a sistemas de información.
3.1.3 El Coordinador del Grupo de Correspondencia verifica la continuidad exitosa de los procesos.
3.2 CONTINGENCIA DE LUGAR
3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al
Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario
de nivel 3 – Coordinador del Grupo de Correspondencia del incidente ocurrido y las instrucciones
de activación de la contingencia de lugar.
3.2.2 El Coordinador del Grupo de Correspondencia contacta al personal crítico (equipo de
recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de
trabajo”.
3.2.3 El Coordinador del Grupo de Correspondencia informa al Jefe de Riesgos o su suplente que
ocupará los puestos de trabajo en el lugar alterno de trabajo.
3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Correspondencia solicita el kit de
contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los
programas requeridos.
3.2.5 El Coordinador del Grupo de Correspondencia confirma al Jefe de Riesgos la correcta
continuidad de los procesos.
3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.
3.2.7 El Coordinador del Grupo de Correspondencia devuelve el “kit de contingencia” para su custodia
nuevamente.
3.2.8 El Coordinador del Grupo de Correspondencia comunica al personal crítico el “Retorno a la
normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 76 de 123
3.3 CONTINGENCIA POR FALLAS TECNOLOGICAS
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupción prolongada de telecomunicaciones.
3.3.1 Contingencia por fallas de software, hardware o telecomunicaciones
El procedimiento de Correspondencia Externa utiliza los siguientes aplicativos para el
desarrollo de las actividades: Mercurio y Correo Electrónico. Ante fallas tecnológicas se
procede de la siguiente manera:
3.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Correspondencia.
3.3.1.2 El Coordinador del Grupo de Correspondencia informa la situación presentada al Coordinador
de Infraestructura de la Dirección de Tecnología.
3.3.1.3 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de
recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología.
3.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de
tecnología (servidores backup, sistemas de recuperación de información, enlaces de
comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la
Oficina de Riesgos, relacionada a continuación:
3.3.2 Contingencia manual para el procedimiento de Correspondencia Externa ante
fallas tecnológicas
La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas
que se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que
estos dos (2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al
considerar el correo electrónico como contingencia de comunicación del sistema mercurio.
A continuación se describen los procedimientos a seguir en contingencia manual:
CONDICIONES GENERALES
La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s)
mercurio y/o correo electrónico supera el tiempo objetivo de recuperación (RTO) del
procedimiento de Correspondencia Externa. El Coordinador del Grupo de Correspondencia de
Secretaria General procede a informar a los usuarios de todas las áreas y Centros de
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 77 de 123
Atención Nacional (CAN), el incidente e indica las instrucciones para operar con el
procedimiento de contingencia y mecanismo de comunicación a utilizar.
En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las
contingencias estimadas:
Contingencia Correspondencia externa recibida Correspondencia externa
enviada
Bogotá CAN Bogotá CAN
Falla del
sistema
mercurio
Centralizada y
recibida por el
Grupo de
Correspondencia
Enviar escaneado el
oficio recibido y
remitirlo al correo
electrónico [email protected]
Entregar oficio al
Grupo de
Correspondencia
para envío a su
destino
Informar por
correo
electrónico
los datos
básicos del
oficio para
otorgar No.
radicación
Falla del
sistema
mercurio y
correo
electrónico
Suministrar por
teléfono datos del
oficio para otorgar
No. Radicación
Suministrar
por teléfono
datos del
oficio para
otorgar No.
radicación Tabla No. 1 – Contingencia del Procedimiento de Correspondencia Externa
Nota: Las comunicaciones que se gestionen dentro de los Centros de Atención Nacional
(CAN) también deben remitir los datos de la misma.
De esta manera se asegura la adecuada gestión de la correspondencia externa, como lo
exige el Acuerdo 060 del 2001 del Archivo General de la Nación.
DESCRIPCION DEL PROCESO
3.3.2.1 CORRESPONDENCIA EXTERNA RECIBIDA
Beneficiarios, proveedores, entidades y operadores de servicios postales
3.3.2.1.1Entregar documentación al punto de Correspondencia del Icetex en Bogotá o en los Centros
de Atención Nacional (CAN).
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 78 de 123
Técnico Administrativo de Secretaría General – Grupo de Correspondencia / Outsourcing de Atención al Cliente en Centro de Atención Nacional (CAN)
3.3.2.1.2Recibir y verificar que el oficio contenga los documentos soportes (cuando aplique) y los datos
básicos que se requieren para radicación.
3.3.2.1.3Estampar sello de recepción del Icetex, colocar fecha, hora y firma de quien recibe el oficio.
3.3.2.1.4Escanear el (los) oficio(s) y documentos soportes (cuando aplique), si la falla es del sistema
mercurio.
3.3.2.1.5Si el oficio es recibido en un Centro de Atención Nacional (CAN), el Outsourcing de Atención
al Cliente informa del recibo del oficio al Grupo de Correspondencia – Secretaria General a
través de correo electrónico, adjuntando la imagen escaneada. En caso de fallas en los dos
sistemas se informa por teléfono la recepción del respectivo oficio con los datos básicos al
Grupo de Correspondencia.
Funcionario Responsable de Secretaria General – Grupo de Correspondencia
3.3.2.1.6Con el fin de determinar el número de radicación a iniciar en contingencia, el funcionario
responsable del Grupo de Correspondencia – Secretaria General establece el último número
de radicación que otorgó el sistema mercurio emitido por esa área y a éste le suma 30
números consecutivos, en consideración a que pudieron generarse nuevas radicaciones en
otras áreas o Centros de Atención Nacional (CAN) posteriores a la asignada por el Grupo de
Correspondencia, previo a la falla del sistema.
3.3.2.1.7Recibir oficio y diligenciar Ficha de Radicación en el documento en Excel denominado
“Radicador Correspondencia Externa”, el cual contiene los datos básicos de la
correspondencia.
3.3.2.1.8Guardar las imágenes de los oficios que se obtuvieron en el computador a su cargo, donde se
mantendrán todas las comunicaciones dentro de la contingencia, otorgando como nombre el
número de radicación.
3.3.2.1.9Leer y analizar la comunicación con el fin de identificar la ruta de destino del Oficio y distribuir
así:
Oficio a tramitar en los Centros de Atención Nacional: Informar el número de radicación a
través de correo electrónico y/o teléfono.
Oficio a tramitar en Bogotá: Distribuir el oficio de manera física al Técnico Administrativo
del Área responsable de acuerdo con la guía de Distribución de Correspondencia y
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 79 de 123
Preparación y Envío de Tulas (se usa cuando el documento se traslada entre ciudades).
Como evidencia de la entrega diligenciar y firma el formato de Excel denominado
“Correspondencia entregada”.
Área Destino
3.3.2.1.10 Recibir oficio, estampar sello como acuse de recibo y tramitar la solicitud respectiva.
3.3.2.1.11 Continuar con el procedimiento Administración Archivos de Gestión.
3.3.2.2 CORRESPONDENCIA EXTERNA ENVIADA
Funcionario responsable en cada área / Centros de Atención Nacional /Outsourcing de Atención al Cliente
3.3.2.2.1De encontrarse en contingencia el sistema mercurio, escanear oficio(s) a enviar como
correspondencia externa, el cual debe haber cumplido con el proceso de revisión, aprobación
y firma del Jefe o funcionario encargado y proceder a informar al funcionario responsable del
Grupo de Correspondencia – Secretaria General, indicando el envío del (los) oficio(s) para
radicación y adjuntando el (los) soporte(s) (cuando aplique), como lo indica la Tabla No. 1
“Contingencia del Procedimiento de Correspondencia Externa”
Funcionario responsable de Secretaria General – Grupo de Correspondencia
3.3.2.2.2Sobre los oficios que se obtengan en original o escaneados se verifica que los documentos
contengan los documentos indicados en el oficio y que se hallen los datos básicos a requerir
para radicación.
3.3.2.2.3Diligenciar Ficha de Radicación en el documento de Excel “Radicador Correspondencia
Externa”, el cual contiene los datos básicos del oficio.
3.3.2.2.4Guardar imagen de los oficios obtenidos en el computador, asignando como nombre el
número de radicación.
3.3.2.2.5Generar documentos y/o planillas para el Operador de Servicio Postal.
3.3.2.2.6Realizar guía de Alistamiento de Correspondencia y entrega al Operador de Servicios
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 80 de 123
3.3.2.3 CORRESPONDENCIA ENVIADA MASIVA
Funcionario emisor
3.3.2.3.1Elaborar texto en Word, el cual es el mismo para todos los destinatarios de la
correspondencia masiva.
3.3.2.3.2Generar archivo en Excel con la información y estructura definida para envío masivo.
3.3.2.3.3Solicitar al Grupo de Correspondencia – Secretaria General la entrega de comunicaciones
masivas, adjuntando los archivos del texto modelo en Word y el listado de remitentes en
Excel.
Funcionario Responsable de Secretaria General – Grupo de Correspondencia
3.3.2.3.4Proceder de igual manera a los descritos en los numerales 3.3.2.2.3 al 3.3.2.2.6 de
Correspondencia Externa Enviada. Recibir y verificar que los documentos contengan los
documentos indicados en la comunicación y que se hallen los datos básicos que se requieren
para radicación.
El Operador de Servicios Postales realiza la actividad de impresión de correspondencia
masiva. Es de aclarar, que el área solicitante debe enviar la firma autorizada digitalizada.
3.3.3.3 RETORNO A LA NORMALIDAD
Funcionario Responsable de Secretaria General – Grupo de Correspondencia
3.3.3.3.1Una vez la Oficina de Riesgos informa la solución del sistema mercurio, el funcionario
responsable del Grupo de Correspondencia procede a identificar el último número de
radicación asignado en contingencia.
Coordinador de Grupo de Correspondencia- Secretaria General
3.3.3.3.2Informar a los usuarios de las áreas y Centros de Atención Nacional para que reanuden la
operativa en este sistema, indicándoles el número de radicación a iniciar en el sistema
mercurio, que será el próximo al asignado en contingencia.
Funcionario Responsable de Secretaria General – Grupo de Correspondencia
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 81 de 123
3.3.3.3.3Adjuntar en el sistema mercurio, el archivo de Excel “Radicador de Correspondencia externa”,
el cual contiene las comunicaciones externas enviadas y recibidas durante la interrupción.
3.3.3.3.4Verificar que exista coincidencia entre el número de radicación otorgado en contingencia y el
asignado en el sistema mercurio.
3.3.3.3.5Dado que la numeración de radicación en contingencia se inició desde un número que se
desconocía si era certero, verificar si hubo números que no fueron utilizados en el sistema; de
ser así, emitir Acta de No Utilización de Números de Radicación, explicando que obedeció a
un proceso de contingencia por interrupción del sistema mercurio.
3.3.3.3.6Firmar Acta como funcionario responsable y entregar al Coordinador del Grupo de
Correspondencia – Secretaria General.
Coordinador de Grupo de Correspondencia – Secretaría General
3.3.3.3.7Revisar numeración de radicación no utilizada en el sistema mercurio y verificar que esta
misma se encuentre relacionada en el Acta de No Utilización de Números de Radicación; si
esta todo en orden, firmar el documento en señal de aceptación.
4.HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
1 12/03/2013 Documento inicial
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 82 de 123
CONTINGENCIA DEL PROCEDIMENTO DE CONSULTA DE ARCHIVO – SECRETARIA GENERAL Macroproceso: Gestión Documental Proceso: Gestión de Archivo
1. OBJETIVO
Describir la contingencia del procedimiento de Consulta de Archivo, considerando los escenarios
de causas de interrupción, los contactos de personal y proveedores.
2. EVENTOS DE CONTINGENCIA
A continuación se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupción de la operación:
2.1 CONTINGENCIA POR AUSENCIA DE PERSONAL
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
2.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo
de Archivo de Secretaria General (Ver Planilla de Contactos Grupo de Archivo – Secretaria
General).
2.1.2 El Coordinador del Grupo de Archivo activa la contingencia por “Ausencia de personal” y de ser
necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al
colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad
Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de
accesos a sistemas de información.
2.1.3 El Coordinador del Grupo de Archivo confirma al Jefe del Area la continuidad exitosa de los
procesos.
2.2 CONTINGENCIA DE LUGAR
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 83 de 123
2.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al
Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario
de nivel 3 – Coordinador del Grupo de Archivo del incidente ocurrido y las instrucciones de
activación de la contingencia de lugar.
2.2.2 El Coordinador del Grupo de Archivo contacta al equipo de recuperación e informa el incidente
ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”.
2.2.3 El Coordinador del Grupo de Archivo informa al Jefe de Riesgos o su suplente que ocupará los
puestos de trabajo en el Lugar alterno de trabajo.
2.2.4 En el Lugar alterno de trabajo, el Coordinador del Grupo de Archivo solicita el kit de contingencia
(recursos de escritorio) y al personal clave que inicie la conectividad a los programas requeridos.
2.2.5 El Coordinador del Grupo de Archivo confirma al Jefe de Riesgos la correcta continuidad de los
procesos.
2.2.6 El Jefe de Riesgos confirma la disponibilidad y funcionabilidad del sitio normal de trabajo.
2.2.7 El Coordinador del Grupo de Archivo devuelve el “kit de contingencia” para su custodia
nuevamente.
2.2.8 El Coordinador del Grupo de Archivo comunica al personal el “Retorno a la normalidad” y
coordina el desplazamiento al “Sitio base de trabajo”.
2.3 CONTINGENCIA POR FALLAS TECNOLOGICAS
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupción prolongada de telecomunicaciones.
2.3.1 Contingencia por fallas de software, hardware o telecomunicaciones
El procedimiento de Consulta de Archivo para el desarrollo de las actividades utiliza los
aplicativos de mercurio y correo electrónico. Ante fallas tecnológicas se procede de la siguiente
manera:
2.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Archivo.
2.3.1.2 El Coordinador del Grupo de Archivo informa la situación presentada al Coordinador de
Infraestructura de la Dirección de Tecnología.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 84 de 123
2.3.1.3 El Coordinador de Infraestructura da respuesta sobre la gravedad del evento y tiempo de
recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología.
2.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología
(servidores backup, sistemas de recuperación de información, enlaces de comunicación), de
ser necesario se da inicio a la contingencia manual relacionada a continuación:
2.3.2 Contingencia manual para el procedimiento de Consulta de Archivo ante fallas
tecnológicas
CONDICIONES GENERALES
La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas que
se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que estos dos
(2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al considerar el
correo electrónico contingencia de comunicación del sistema mercurio.
En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las
contingencias estimadas:
Falla en aplicativo de Contingencia
estimada
Solicitar a: Respuesta por:
Mercurio Correo electrónico Correo electrónico
Correo electrónico
del solicitante
Mercurio y correo
electrónico
Teléfono Outsourcing de
Archivo
Bogotá: Presencial
Territoriales:
Correspondencia Tabla No. 1 – Contingencia de Procedimiento de Consulta de Archivo
La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s) supera
el Tiempo Objetivo de Recuperación (RTO) del procedimiento de Consulta de Archivo. El
Coordinador del Grupo de Archivo de Secretaria General informa a todas las áreas y Centros de
Atención Nacional (CAN) el incidente e indica las instrucciones para operar con el procedimiento
de contingencia y mecanismo de comunicación a utilizar de acuerdo con la anterior tabla.
A continuación se describen los procedimientos a seguir en contingencia manual:
2.3.2.1 CONSULTA DE IMÁGENES
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 85 de 123
Funcionario autorizado del área
2.3.2.1.1 Ante la necesidad de una copia de una imagen, el funcionario del área solicitante utiliza el
medio de comunicación indicado por el Coordinador del Grupo de Archivo – Secretaria
General, las cuales son:
Fallas en el sistema mercurio: Realice solicitud por correo electrónico al correo
Fallas en los sistemas mercurio y correo electrónico: Realice solicitud por teléfono al
Outsourcing de Archivo.
Los documentos que actualmente se encuentran digitalizados son títulos valores y carpetas
de beneficiarios, en caso de requerirse un documento diferente a esta tipología, es necesario
validarse previamente con el Coordinador del Grupo de Archivo.
2.3.2.1.2 La solicitud debe contemplar los siguientes datos:
Tipo de documento a requerir
Nombre y apellido del titular del documento
No. de identificación del titular del documento
Outsourcing de Archivo
2.3.2.1.3 Recibir solicitud de copia de imágenes de documento (correo electrónico o vía telefónica).
2.3.2.1.4 Registrar información en el formato “Solicitud de Imágenes en Contingencia”.
2.3.2.1.5 Buscar documento en la base de datos de consulta de archivo.
2.3.2.1.6 Enviar copia de la imagen al funcionario solicitante a través de:
Solicitud efectuada por correo electrónico: Enviar al correo electrónico del solicitante.
Solicitud realizada por Teléfono: Informar por teléfono al funcionario solicitante acercarse
a la Oficina del Outsourcing de Archivo a recoger copia de la imagen; en caso que el
requerimiento sea de un Centro de Atención Nacional, se remite por correo interno la
copia de la imagen.
Funcionario autorizado del área
2.3.2.1.7 Recibir y visualizar copia de los documentos y resolver la consulta.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 86 de 123
2.3.2.2 PRESTAMO DE UN DOCUMENTO FISICO
Funcionarios áreas
2.3.2.2.1 Solicitar la ubicación del mismo según las instrucciones suministradas por el Coordinador del
Grupo de Archivo, de acuerdo con la situación presentada, pudiendo ser:
Fallas en la aplicación de mercurio: Emitir mensaje de solicitud de ubicación del
documento, dirigido al correo electrónico: [email protected].
Fallas en los aplicativos de mercurio y correo electrónico: Consultar de forma personal.
Outsourcing de Archivo
2.3.2.2.2 Recibir la solicitud de ubicación del documento y proceder a buscarlo en la base de datos
del sistema de consulta de archivo, efectuando radicación en la Planilla de Préstamos.
2.3.2.2.3 Dar respuesta de los documentos encontrados por la misma vía que se solicitó:
Fallas en la aplicación de mercurio: Emitir mensaje de respuesta de ubicación del
documento, dirigido al correo electrónico del funcionario solicitante.
Fallas en los aplicativos de mercurio y correo electrónico: Responde de forma personal
o por teléfono al funcionario solicitante.
2.3.2.2.4 De no encontrarse la ubicación del documento, emitir certificación de no ubicación del
documento y dirigirla al Coordinador del Grupo de Archivo de Secretaria General, quien
procede a contestar por comunicación al área solicitante.
Funcionarios de Áreas
2.3.2.2.5 Recibir respuesta con los datos de la ubicación del documento solicitado.
2.3.2.2.6 Diligenciar el formato Autorización de consulta al archivo (F228) y entregar dicho formato al
Outsourcing de Archivo.
Outsourcing de Archivo
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 87 de 123
2.3.2.2.7 Recibir formato Autorización de consulta al archivo (F228) y ubicar documento en la base
de datos del sistema de consulta de archivo.
2.3.2.2.8 Notificar por vía telefónica al funcionario solicitante de la ubicación del documento.
2.3.2.2.9 Diligenciar el formato “Control de préstamos de unidades documentales o expedientes”
(F146).
2.3.2.2.10 Actualizar Base de Datos “Préstamos Icetex”, cambiando el estado del documento a “Listo
entrega”.
Funcionarios Áreas
2.3.2.2.11 Al recibir notificación, acercarse al Outsourcing de Archivo a recoger documento y firmar
como “Recibido” en el formato “Control de préstamos de unidades documentales o
expedientes” (F146).
2.3.2.2.12 Utilizar el documento y resolver la consulta.
2.3.2.2.13 Devolver documento al Area de Prestamos de Archivo.
Outsourcing de Archivo
2.3.2.2.14 Recibir el documento y actualizar el estado a “Devuelto” en la Base de Datos “Préstamos
Icetex”.
2.3.2.2.15 Enviar el documento a custodia.
2.3.2.2.16 Recibir unidades de conservación documental y archivar nuevamente.
2.3.2.2.17 Actualizar estado a “Disponible” en la Base de Datos “Préstamos Icetex”.
2.3.2.3. RETORNO A LA NORMALIDAD
Coordinador Grupo de Archivo de Secretaria General
2.3.2.3.1 Una vez confirmado que la Oficina de Riesgos informa la solución del incidente en los
aplicativos de mercurio y/o correo electrónico, el Coordinador del Grupo de Archivo
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 88 de 123
informará a los usuarios de las áreas y Centro de Atención Nacional para que reanuden la
operativa en este sistema.
Outsourcing de Archivo
2.3.2.3.2 Actualizar el sistema mercurio con los préstamos de documentos físicos, tomando como
referencia la base de datos de Préstamos Icetex.
3.HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
1 20/12/2012 Documento inicial
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 89 de 123
CONTINGENCIA DE LA GUIA DE PAGO DE SERVICIOS PUBLICOS Y ADMINISTRACIONES – SECRETARIA GENERAL Macro proceso: Gestión Administrativa y Apoyo Logístico Proceso: Servicios Generales y Apoyo Logístico 1. OBJETIVO
Describir la contingencia del procedimiento de Pago de Servicios Públicos y Administraciones,
considerando los escenarios que causan de interrupción, los contactos de personal y los
recursos mínimos necesarios.
2. ALCANCE
El documento cubre la contingencia de pago de servicios públicos y administraciones urgentes
de tramitar en un evento de interrupción de la operación.
3. EVENTOS DE CONTINGENCIA
A continuación se describen las acciones a seguir en los diferentes escenarios que pueden
causar interrupción de la operación:
3.1 CONTINGENCIA POR AUSENCIA DE PERSONAL
Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo
de Administración de Recursos Físicos de Secretaria General (Ver Planilla de Contactos Grupo
de Recursos Físicos – Secretaria General).
3.1.2 El Coordinador del Grupo de Administración de Recursos Físicos activa la contingencia por
“Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye
procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo
requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del
formato F121 “Formato asignación de accesos a sistemas de información.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 90 de 123
3.1.3 El Coordinador del Grupo de Administración de Recursos Físicos verifica la continuidad exitosa
de los procesos.
3.2 CONTINGENCIA DE LUGAR
3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al
Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario
de nivel 3 – Coordinador del Grupo de Administración de Recursos Físicos del incidente ocurrido
y las instrucciones de activación de la contingencia de lugar.
3.2.2 El Coordinador del Grupo de Administración de Recursos Físicos contacta al personal crítico
(equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar
alterno de trabajo”.
3.2.3 El Coordinador del Grupo de Administración de Recursos Físicos informa al Jefe de Riesgos o
su suplente que ocupará los puestos de trabajo en el lugar alterno de trabajo.
3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Administración de Recursos Físicos
solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la
conectividad a los programas requeridos.
3.2.5 El Coordinador del Grupo de Administración de Recursos Físicos confirma al Jefe de Riesgos la
correcta continuidad de los procesos.
3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.
3.2.7 El Coordinador del Grupo de Administración de Recursos Físicos devuelve el “kit de
contingencia” para su custodia nuevamente.
3.2.8 El Coordinador del Grupo de Administración de Recursos Físicos comunica al personal crítico el
“Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
3.3 CONTINGENCIA POR FALLAS TECNOLOGICAS
La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya
interrupción prolongada de telecomunicaciones.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 91 de 123
3.3.1 Contingencia por fallas de software, hardware o telecomunicaciones
El procedimiento de Pago de Servicios Públicos y Administraciones utiliza el aplicativo
Apoteosys para el desarrollo de las actividades. Ante fallas tecnológicas se procede de la
siguiente manera:
3.3.1.5 El usuario comunica el evento al Coordinador del Grupo de Administración de Recursos
Físicos.
3.3.1.6 El Coordinador del Grupo de Administración de Recursos Físicos informa la situación
presentada al Coordinador de Infraestructura de la Dirección de Tecnología.
3.3.1.7 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de
recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología.
3.3.1.8 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de
tecnología (servidores backup, sistemas de recuperación de información, enlaces de
comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la
Oficina de Riesgos, relacionada a continuación:
3.3.2 Contingencia manual para el procedimiento de pago de servicios públicos y
administraciones ante fallas tecnológicas
CONDICIONES GENERALES
La Oficina de Riesgos activa la contingencia cuando la recuperación del sistema Apoteosys
supera el tiempo objetivo de recuperación (RTO) del procedimiento de Pago de Servicios
Públicos y de Administraciones. El Coordinador del Grupo de Administración de Recursos
Físicos de Secretaria General procede a informar a su Grupo de Trabajo el incidente y dar
instrucciones para operar con el procedimiento de contingencia.
Para el desarrollo de este procedimiento se requiere el formato manual de Orden de Pago.
DESCRIPCIÓN DEL PROCESO
Técnico / Secretaria General Grupo de Correspondencia / Líder Outsourcing / Puntos de Atención Nacional
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 92 de 123
Para la recepción de facturas de pago de servicios públicos y administraciones de bienes inmuebles de
la ciudad de Bogotá, se realizan las actividades del procedimiento “Correspondencia Externa”.
Para la recepción de las facturas de pago de servicios públicos y de administraciones de bienes
inmuebles fuera de Bogotá, se realizan las actividades de la Guía “Preparación y Envío de Tulas”.
Técnico / Secretaria General – Grupo de Administración de Recursos Físicos
3.3.2.1 Recibir facturas de pago de servicios públicos y administradores de bienes inmuebles y verificar
que las mismas estén correctas. Si se llegara a presentar alguna inconsistencia se subsana
comunicándose con la empresa prestadora del servicio.
3.3.2.2 Generar de forma manual la Orden de Pago de cada factura.
3.3.2.3 Firmar la Orden de Pago en señal de elaborado y presentarla para su revisión y aprobación al
Aprobador y Ordenador del Gasto.
3.3.2.4 Registrar en el libro control de órdenes de pago de la Secretaria General, cada una de las órdenes de
pago que se entregan al Grupo de Presupuesto de la Vicepresidencia Financiera.
Continuar con las actividades de los procedimientos de Registro presupuestal de Obligaciones, Análisis contable
de causaciones y cuentas por pagar y Giro.
4.HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
1 15/03/2013 Documento inicial
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 93 de 123
8.3 ANEXOS DE PROCEDIMIENTOS
8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO
Director de Continuidad o Director de Continuidad Alterno
1. Activa la contingencia a sitio alterno.
Jefe de Riesgos
2. Activa la cascada telefónica y comunica el evento de incidente mayor al Vicepresidente,
Director o Jefe de cada área, quien a su vez informa al colaborador de siguiente jerarquía
de su área acerca del incidente ocurrido y las instrucciones de activación de la
contingencia de lugar.
Secretaria General (Líder Administración Recuperación Infraestructura Física)
3. La Secretaria General con apoyo del Comité SARO-SARLAFT, contacta a los proveedores
de las alternativas seleccionadas, definen el sitio alterno en el cual se mantendrá la
operación de la Entidad en momento de contingencia.
4. Acuerda con el proveedor la utilización de sus instalaciones por el período de tiempo que
dure la contingencia, según las necesidades del Icetex descritas por el Coordinador de
Negocio y el Comité SARO-SARLAFT en ese momento.
5. Coordina el traslado del personal al centro de operaciones establecido para operar en
contingencia.
Coordinadores de recuperación del negocio
6. Convoca al personal identificado como personal crítico (equipo de recuperación), e informa
el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. El equipo
de recuperación se encuentra detallado en el documento “Cascada Telefónica”, que posee
el Líder de PCN de cada área.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 94 de 123
7. Una vez instalados en el centro de operaciones alterno, realiza un chequeo del personal
mínimo que se encuentra en el sitio, en caso de ser necesario llamará al personal suplente
requerido.
8. Solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la
conectividad a los programas requeridos.
9. Confirma al Director de Continuidad Alterno o su suplente la correcta continuidad de los
procesos.
Secretaria General (Líder Administración Recuperación Infraestructura Física)
10.Realiza una evaluación del sitio alterno, para validar que los recursos requeridos se
encuentren disponibles en el sitio.
Director de Continuidad o Director de Continuidad Alterno
11. Solicita a los diferentes Coordinadores de Recuperación un estado del evento y como ha
transcurrido la operación en contingencia, se debe de usar el formato de Activación y
Seguimiento de la Activación (detallado en el numeral 8.5.5).
12. El Comité SARO – SARLAFT analiza los resultados del estado de la contingencia y,
procede a decidir:
“NO” terminar la contingencia: Los equipos de recuperación deben seguir ejecutando
la operación en contingencia.
“SI” terminar la contingencia: Basado en la información suministrada por los
Coordinadores y el análisis realizado por los miembros del Comité, el Director de
Continuidad decide terminar la contingencia, da la orden de activar el proceso de
retorno, confirma la disponibilidad y funcionabilidad del sitio normal de trabajo y se
informa a los diferentes equipos la decisión.
Coordinadores de recuperación del negocio
13. Devuelve el “kit de contingencia” para su custodia nuevamente.
14. Comunicar al personal que participó en la contingencia, el “Retorno a la normalidad” y
coordina el desplazamiento al “Sitio base de trabajo”.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 95 de 123
8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS
OBJETIVOS
Definir un procedimiento para la atención de los incidentes o problemas presentados en los
sistemas o aplicativos que manejan las áreas usuarias.
Definir responsabilidades en cuanto a la declaración de contingencias por incidentes o
problemas presentados.
A continuación se detalla el procedimiento para el manejo de incidentes por problemas de
sistemas:
Colaborador del área
1. Detalla en forma precisa el evento o incidente que se presenta e informa al Líder de PCN
de la dependencia.
Líder PCN de área
2. Verifica si el mismo evento se le está presentando a otros colaboradores de la misma área
y si sus tareas afectan a otras dependencias, se debe validar con las mismas si el
problema es general.
3. Una vez tenga claridad sobre el evento que se está presentando y los colaboradores
involucrados, debe clasificarlo teniendo en cuenta las siguientes definiciones para
determinar si es un incidente o un problema:
Incidente: Afecta puntualmente a una persona o grupo de personas.
Problema: Afecta de manera general a todo el Icetex o a los clientes.
4. Ingresa en el aplicativo de reporte de incidencias del Instituto. Esto con el fin que la
Dirección de Tecnología pueda dejar reportado el evento en el Control de Incidentes.
5. Envía al correo electrónico al Jefe de Riesgos y Coordinador de Infraestructura de la
Dirección de Tecnología e informa el incidente de PCN.
Coordinador de Infraestructura – Dirección de Tecnología
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 96 de 123
6. Define la solución al incidente (tiempo y estrategia de recuperación) y da respuesta sobre
la gravedad del evento y tiempo de recuperación. Si el daño es importante, el Director de
Tecnología decide la activación del plan de contingencia de tecnología afectado (servidores
backup, sistemas de recuperación de información, enlaces de comunicación), e informa al
Director de Continuidad Alterno (Jefe de Riesgos).
Director de Continuidad Alterno (Jefe de Riesgos)
7. Informa la situación al Líder de PCN del área afectada.
8. Si el tiempo de recuperación es menor al Tiempo Objetivo de Recuperación (RTO) del
proceso afectado deberá esperar, de lo contrario declara la contingencia manual (cuando
se cuente con ésta), mientras se soluciona definitivamente el incidente o problema
presentado.
Líder de PCN área afectada
9. Desarrolla la estrategia manual (Ver anexo 8.2, que contiene las contingencias manuales
estimadas).
Coordinador de Infraestructura – Dirección de Tecnología
10. Una vez solucionado el incidente o problema por parte de la Dirección de Tecnología,
informa al Director de Continuidad Alterno (Jefe de Riesgos) y al Líder PCN del área
afectada para que se levante la contingencia.
Director de Continuidad Alterno (Jefe de Riesgos)
11. Solicita levantar la contingencia del incidente presentado y retorno a la normalidad.
Líder PCN de área
12. Asegura el retorno a la normalidad de las operaciones de acuerdo con el numeral de
“Retorno a la normalidad” de la estrategia manual establecida, ejecuta las acciones que
permitan que los clientes no se vean afectados en los procesos del área, así como los
reportes a entes reguladores.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 97 de 123
13. Una vez se haya solucionado el incidente, diligencia el formato “Reporte de incidente PCN”
(ver numeral 8.5.2), lo entrega al Jefe de la Oficina de Riesgos, con copia al Líder del
Proceso responsable del área afectada.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 98 de 123
8.4 ANEXOS DE TABLAS
8.4.1 TIPOS DE AMENAZA
NATURALES INSTALACIONES SOCIAL TECNOLOGICAS OPERACIONALES
Inundaciones Fuego Huelgas Virus Crisis financiera
Desastre natural Explosión Epidemias Hacking Pérdida de suplidores
Tornados Caída e energía Materiales peligrosos Pérdida de datos Fallas en equipos
Huracanes Daño de agua Problemas de transporte Fallas de hardware Aspectos regulatorios
Sismos Pérdida de acceso Pérdida de personal clave Fallas de software Mala publicidad
Tormentas Falla mecánica Motines Fallas en la red
Incendios Protestas Fallas en las líneas
telefónicas
Sabotaje
Vandalismo
Bombas
Violencia laboral
Terrorismo
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 99 de 123
8.4.2 TIPOS DE VULNERABILIDADES
FACTOR VULNERABILIDAD FACTOR VULNERABILIDAD
Falta de administración del conocimiento Carencia de planes de emergencia y administración de crisis
Carencia de capacitación y entrenamiento Exposición a incendios e inundaciones
Insuficiencia capacidad de personas Fallas de potencia electrica
Inadecuada preparación ante desastres Construcción inadecuada de edificios y centros de cómputo
Falta de seguridad laboral y salud ocupacional Falta de controles medio ambientales
Falta de pertenencia a la entidad y cultura en continuidad Ubicación del edificio
Falta de segregación de funciones Fallas en construcción de edificaciones bajo normas de sismo
resistencia y control de impactos de afectación física.
Falla en la administración de proveedores de servicios profesioales Carencia de control de accesos en áreas críticas restringidas.
Falta de políticas de comunicación formal Carencia de definición de planes de atención y evacuación
ante conatos de incendio, amenazas de terrorismo,
terremoto, o situaciones similares que ponen en riesgo las
vidas humanas
Falta de políticas de retención de personal Controles predictivos, preventivos o correctivos de fallas
relacionadas con aire acondicionado, suministro de energía y
potencia eléctrica requerida por equipos electrónicos o
mecánicos.
Otros Control proactivo de suministro de elementos críticos como
agua, indispensables para mantener condiciones higiénicas
dentro de las edificaciones, además de equipos de control
de temperatura y ambiente.
Otros
Carencia de procesos de administración de servicios de IT de
información
Falta de administración
Falta de estrategias de disponibilidad Falta de controles medioambientales
Inadecuadas estrategias de recuperación Falta de procedimientos alternos
Falta de acuerdos de servicio conproveedores Dependencia entre procesos
Puntos únicos de falla en la infraestructura de IT Falla en la gestión de calidad (disciplina de registro,
comunicación, documentación, integración, evaluación)
Alta dependencia de proveedores Limitaciones de capacidad
Inadecuado control, gestión y mantenimiento de servidores, bases
de datos, redes, almacenamiento, aplicaciones y sistemas de
información, información, archivos u operación de usuarios.
Falta de definición de acuerdos de nivel de servicio
Falta o inadecuados procesos definidos e implementados para el
soporte del servicio /administración de incidentes, administración
de cambios, administración de configuración, administración de
Dependencia y falta de control de proveedores
Falta o inadecuados procesos definidos e implementados para la
entrega del servicio (administración de capacidad y desempeño,
administración de continuidad de tecnología, administración de
acuerdos de niveles de servicios).
Falla en suministrar claridad en roles y responsabilidades
relacionadas con las operaciones críticas
Falla en el Inventario (stock) de componentes o partes críticas. Falta o fallas en acuerdos de servicios medibles y confiables
con proveedores
Ausencia de sitios alternos de procesamiento. Falta o fallas enla medición de tiempos y cantidad de
recursos críticos
Inadecuada capacidad de enlaces de trasmisión y redundancia. No se cuenta con jormadas de evacuación del edificio
Falta de pruebas de recuperación y retorno, restauración de cintas
de respaldo.
Falta de respaldos de datos (tipo, frecuencia, SW, política de
respaldo de datos, rotulado y rotación de cintas, ubicación de
cintotecas.
Falta o falla de centros de custodias (distancia, frecuencia de
recolección, convenios).
Falla en Requerimiento a proveedores (contingencias, sitios
alternos).
Otros
INFR
AES
TRU
CTU
RA
FIS
ICA
PER
SON
AS
INFR
AES
TRU
CTU
RA
TEC
NO
LOG
ICA
PR
OC
ESO
S
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 100 de 123
8.4.3 CRITERIOS DE FRECUENCIA
FRECUENCIA DEFINICION CASOS /AÑO VALOR
MUY BAJA Baja probabilidad de ocurrencia; ha sucedido o se
espera que suceda menos de una vez en 20 años
Entre 0.00 y 0.05 1
BAJA Limitada probabilidad de ocurrencia; sucede en forma
esporádica, una vez entre los 5 y los 20 años.
Entre 0.05 y 0.2 2
MODERADA Mediana probabilidad de ocurrencia; sucede algunas
veces, una vez entre 1 y los 5 años.
Entre 0.2 y 1.0 3
ALTA Significativa probabilidad de ocurrencia; sucede en
forma reiterada, entre 1 vez y 10 veces al año
Entre 1.0 y 10 4
MUY ALTA Alta probabilidad de ocurrencia; ocurre en forma
seguida, mas de 10 veces al año.
Más de 10 5
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 101 de 123
8.4.4 CRITERIOS DE IMPACTO
VL.
ASOCIA
DO
CALIFICACION FINANCIERO PROCESO REPUTACIONAL LEGAL SERVICIO AL CLIENTE IMPACTO HUMANOINFRAESTRUCT
URA FISICA
1
Insignificante Durante una interrupción de las
operaciones normales cuya
duración es mayor a 7 días, el
Instituto podría perder una
ganancia o dejaría de percibir
ingresos a través de préstamos o
productos que superan más de
$170,000,000.
Suspende la
operación o genera
reprocesos de hasta
1 hora.
al interior del
proceso.
Durante una interrupción de las operaciones
normales del procedimiento mayor a 7 días, las
sanciones por el incumplimiento podrían superar
los $170,000,000 y/o el periodo de tiempo dentro
del cual el resultado de incumplimiento daría
lugar a Penalizaciones, sanciones, multas y/o
Investigación contra del Instituto es mayor a 7
días.
El tiempo máximo en que el procedimiento
debe ser recuperado sin causar un impacto
significativo al Instituto o al Servicio al
Cliente Externo es mayor a 7 días o el
número de clientes externos afectados
diariamente es igual o menor a 50.
No se presenta
problemas de
seguridad y salud
para los empleados
No afecta las
instalaciones
físicas
2
Menor Durante una interrupción de las
operaciones normales cuya
duración es mayor a 48 horas
hasta 7 días, el Instituto podría
perder una ganancia o dejaría de
percibir ingresos a través de
préstamos o productos que
superan más de $170,000,000.
Suspende la
operación o genera
reprocesos mayor a
1 horas hasta 4
horas.
A nivel de la
entidad y
conocimiento
limitado de
clientes.
Durante una interrupción de las operaciones
normales del procedimiento mayor a 48 horas
hasta 7 días, las sanciones por el incumplimiento
podrían superar los $170,000,000 y/o el periodo
de tiempo dentro del cual el resultado de
incumplimiento daría lugar a Penalizaciones,
sanciones, multas y/o Investigación contra del
Instituto es mayor a 48 horas hasta 7 días.
El tiempo máximo en que el procedimiento
debe ser recuperado sin causar un impacto
significativo al Instituto o al Servicio al
Cliente Externo mayores a 48 horas hasta 7
días o el número de clientes externos
afectados diariamente es mayor a 50 hasta
500.
Potencial por herida
leve
Acceso
restringido a las
instalaciones
físicas (80%)
3
Moderado Durante una interrupción de las
operaciones normales cuya
duración es mayor a 24 horas
hasta 48 horas, el Instituto podría
perder una ganancia o dejaría de
percibir ingresos a través de
préstamos o productos que
superan más de $170,000,000.
Suspende la
operación o genera
reprocesos mayores
a 4 horas y hasta 1
dia.
El problema es
de
conocimiento
de un número
considerado de
clientes.
Durante una interrupción de las operaciones
normales del procedimiento mayor a 24 horas
hasta 48 horas, las sanciones por el
incumplimiento podrían superar los $170,000,000
y/o el periodo de tiempo dentro del cual el
resultado de incumplimiento daría lugar a
Penalizaciones, sanciones, multas y/o
Investigación contra del Instituto es mayor a 24
horas hasta 48 horas.
El tiempo máximo en que el procedimiento
debe ser recuperado sin causar un impacto
significativo al Instituto o al Servicio al
Cliente Externo mayores a 24 horas hasta 48
horas o el número de clientes externos
afectados diariamente es mayor a 500 hasta
1000.
Herida que requiere
tratamiento de
hospital a más de un
miembro del
personal.
Reducción del
personal a nivel
local.
Acceso
restringido a las
instalaciones
físicas (60%)
4
Importante Durante una interrupción de las
operaciones normales cuya
duración es mayor a 4 horas hasta
24 horas, el Instituto podría perder
una ganancia o dejaría de percibir
ingresos a través de préstamos o
productos que superan más de
$170,000,000.
Suspende la
operación o genera
reprocesos mayores
a un día hasta 2 días.
A nivel sectorial
/ Entes de
control.
Durante una interrupción de las operaciones
normales del procedimiento mayor a 4 horas
hasta 24 horas, las sanciones por el
incumplimiento podrían superar los $170,000,000
y/o el periodo de tiempo dentro del cual el
resultado de incumplimiento daría lugar a
Penalizaciones, sanciones, multas y/o
Investigación contra del Instituto es mayor a 4
horas hasta 24 horas.
El tiempo máximo en que el procedimiento
debe ser recuperado sin causar un impacto
significativo al Instituto o al Servicio al
Cliente Externo mayores a 4 horas hasta 24
horas o el número de clientes externos
afectados diariamente es mayor a 1000
hasta 5000.
Heridas
significativas.muert
e potencial.
Reducción
significativa de
personal.
Imposibilidad
de acceso a
instalaciones
físicas
5
Masivo Durante una interrupción de las
operaciones normales entre 0 y 4
horas, el Instituto podría perder
una ganancia o dejaría de percibir
ingresos a través de préstamos o
productos que superan más de
$170,000,000.
Suspende la
operación o genera
reprocesos mayores
a 2 días.
Medios de
comunicación.
Durante una interrupción de las operaciones
normales del procedimiento mayor a 0 horas
hasta 4 horas, las sanciones por el
incumplimiento podrían superar los $170,000,000
y/o el periodo de tiempo dentro del cual el
resultado de incumplimiento daría lugar a
Penalizaciones, sanciones, multas y/o
Investigación contra del Instituto es mayor a 0
horas hasta 4 horas.
El tiempo máximo en que el procedimiento
debe ser recuperado sin causar un impacto
significativo al Instituto o al Servicio al
Cliente Externo es de 0 a 4 horas o el
número de clientes externos afectados
diariamente es mayor a 5000.
Muertes y/o
afectación total
sobre las vidas del
personal. Reducción
amplia del personal.
Destrucción
total de
instalaciones
físicas
NOTA: Contiene las variables de impacto aplicadas en el Análisis de Impacto del Negocio: Financiero, Proceso, Reputacional, Legal y de Servicio al Cliente
Las variables de impacto de: Proceso y Reputacional, son las mismas que se definieron para la Administración del Riesgo Operativo - SARO
Las variables de : Impacto humano e Infraestructura física deben ser contempladas por el tema de continuidad
El valor asociado y la calificación son las mismas utilizadas para la administración del riesgo operativo - SARO, iniciando desde la calificación 1.
CRITERIO DE IMPACTO RIESGO PLAN DE CONTINUIDAD DEL NEGOCIO
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 102 de 123
8.5 ANEXOS FORMATOS
8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA
Fecha:
Nombre Dependencia Nombre Area
Gerente Dependencia Jefe Area
Cargo Cargo
Calificación BIATiempo Objetivo de
Recuperación (RTO)Valor del BIA
Procedimiento 1
Procedimiento 2
Procedimiento 3
Procedimiento 4
Procedimiento 5
Procedimiento 6
Procedimiento 7
Procedimiento 8
Procedimiento 9
Procedimiento 10
Líder PCN OBSERVACIONES
Cargo Líder PCN
ANALISIS DE IMPACTO DEL NEGOCIO ( BIA)
Procedimiento No.
Valoración del BIA
Nombre del Procedimiento
Ir a Parámetros ir a CuestionarioIr a Sección
Requerimientos Ir a Instrucciones
Cuestionario
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 103 de 123
Cuestionario BIA
Regulatorio/Legal
1
2
3El Instituto podría perder una ganancia de
más de $170,000,000.
4
El Instituto dejaría de percibir ingresos, a
través de préstamos o productos que
superan los $170,000,000.
5
6
7
8
9
10
Nombre del procedimiento (Llenado Autmático)
Imp
acto
s p
ara
ser
anal
izad
os
po
r el
Áre
a d
e N
ego
cio
/Ap
oyo
Clasificación Final Derivada BIA
Evalue el efecto del impacto reputacional en cuanto a las opiniones de los
clientes, sectores educativo y financiero y/o el publico en general.
Co
mp
rueb
e D
epen
den
cia
-
Par
a se
r ll
enad
o p
or
PC
N
¿Este procedimiento proporciona información crítica para cualquier otro
procedimiento (Por favor, indique "Sí" o "No")
El procedimiento tiene proveedores críticos.
Durante una interrupción de las
operaciones normales del
procedimiento, describir el
período en el que:
Describa el periodo de tiempo dentro del cual el resultado de incumplimiento
daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del
Instituto.
Por favor indique el nombre del procedimiento si la respuesta anterior es Sí
Servicio a Cliente Externo
¿Cuál sería el impacto en otros procedimientos o áreas?
Describa la importancia de las actividades de sus proveedores externos en
sus procedimientos.
Reputacional
Proveedores Críticos
¿Cuál es el tiempo máximo en que el procedimiento debe ser recuperado sin
causar un impacto significativo al Instituto o al Servicio al Cliente Externo?
Proveedores
Tiempo Objetivo de Recuperación (RTO)
Valor del BIA
Proporcione la calificación BIA de acuerdo al procedimiento mencionado
anteriormente. (Arriba)
Describa el tiempo máximo tolerable que está dispuesto a perder de información de
su procedimiento ante una interrupción en los sistemas de información.
Durante una interrupción de las operaciones normales del procedimiento,
describa el plazo en el cual las sanciones por el incumplimiento podría
superar los $170,000,000.
Financiero
Número de clientes externos afectados diariamente
Procedimientos
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 104 de 123
Nombre del
Procedimiento
Número de funcionarios
tiempo completo para
ejecutar el procedimiento
Número de funcionarios
necesarios durante la
recuperación
Aplicación Critica - 1
Aplicación Critica - 2
Aplicación Critica - 3
Aplicación Critica - 4
Aplicación Critica - 5
Teléfono Interior
Impresora
Scanner
Nombre del Procedimiento
Dependencia del Proveedor Critico?
Nombre del Proveedor Critico - 1 (si lo hay)
Nombre del Proveedor Critico - 2 (si lo hay)
Nombre del Proveedor Critico - 3 (si lo hay)
Nombre del Proveedor Critico - 4 (si lo hay)
Nombre del Proveedor Critico - 5 (si lo hay)
Nombre del Proveedor Critico - 6 (si lo hay)
Nombre del Proveedor NO Critico - 1 (si lo hay)
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 105 de 123
Calificación
BIA
Tiempo
Objetivo de
Recuperación
(RTO)
Valor del BIA
Procedimiento 1
Procedimiento 2
Procedimiento 3
Procedimiento 4
Procedimiento 5
Procedimiento 6
Procedimiento 7
Procedimiento 8
Procedimiento 9
Procedimiento 10
Firmas
Detalles
Jefe Área
Líder BCP
Firma
Resultados del Análisis de Impacto de Negocio (BIA)
<<AREA>>
FECHA
La información contenida en este documento es exclusivamente de <<AREA>>. Para llegar al nivel adecuado de
preparación de la continuidad, la <<AREA>> ha respondido al Analisis de Impacto del Negocio e información para
justificar el apoyo en cada una de las respuestas seleccionadas en el cuestionario BIA, así como la información de la
Tecnología " Requisitos durante el desastre y la información sobre "Proveedores Críticos" de los procedimientos. Esta
información será utilizada en toda la documentación de continuidad del negocio en el futuro.
El área analizada <<No.>> procedimientos, se obtuvieron los siguientes resultados:
Procedimiento
No.Nombre del Procedimiento
Valoración del BIA
El resultado obtenido para cada uno de los procedimientos determina lo siguiente:
* Calificación BIA: Indica la sensibilidad de tiempo entre los niveles Misión Crítica a insignificante. Esto se deriva a
través de la realización del cuestionario BIA.
• Periodo máximo tolerable de interrupción: El período de tiempo después de una interrupción, en el que el
Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto
significativo.
• Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento
de prioridades de recuperación durante una situación difícil.
Conclusiones
El BIA constituye un aporte fundamental para obtener la Estrategia para la Continuidad del Negocio. En función de la
criticidad, una amplia gama de estrategias de Continuidad de Negocios se pueden implementar. Estas estrategias
serán acordadas entre las Áreas de Negocio/Apoyo y el equipo de Plan de Continuidad de Negocio (PCN).
De acuerdo con lo anterior, los procedimientos que se priorizan en la primera fase de revisión de las disposiciones del
Plan de Continuidad de Negocios (PCN), serán los valores que aparecen en el BIA con valor <<Misión Critica>> y
<<Masivo>> en el cuadro anterior.
Nombre
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 106 de 123
8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA
REPORTE DE INCIDENTES DE CONTINGENCIA
Información de Identificación
Fecha del incidente Hora de ocurrencia
Duración del incidente Proceso afectado
Nombre del área Lugar donde se presentó el incidente
Descripción del Riesgo
Descripción del Incidente (Problema ocasionado)
Causas del Incidente
Medidas contingentes adoptadas
Acción Participantes
Nombre Cargo
Efectos en el Funcionamiento del Icetex
Retorno a la Operación normal
Lecciones aprendidas
Elaborado por: Revisado por:
Nombre Nombre
Firma Firma
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 107 de 123
8.5.3 CASCADA TELEFONICA
CONTACTOS PERSONAL DEL AREAAREA: DEPENDENCIA: FECHA ACTUALIZACION:
Rol Nombre CargoTel
Interno
Correo
ElectrónicoCelular Casa
CONTACTO
PRINCIPAL
EQUIPO
RECUPERACIONBRIGADISTA
PERSONAL
CRITICO( R eenviados a
un sit io alt erno
de cont ingencia
de cort o
t iempo)
Contacto de
Emergencia
Primario para
todas las áreas
de negocio
Contacto de
Departamento
Primario
Cascada Nivel 1
Cascada Nivel 2 -
Contactarán a los
Coordinadores
de su área
Cascada Nivel 3 -
Contactarán al
personal de sus
propios grupo de
cascada.
Personal
Personal
Personal
Personal
Personal
CASCADA TELEFONICA PCN
PROCEDIMIENTO NOMBRES TELEFONO CASA TELEFONO CELULAR
LISTA DE PERSONAL MINIMO POR PROCEDIMIENTO
No. PERSONAS
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 108 de 123
AREA FECHA ACTUALIZACION
Proveedor
Descripción Proveedor
Dirección
Procedimiento
Contacto Principal Contacto Alterno
Teléfono Oficina Teléfono Oficina
Teléfono Movil Teléfono Movil
Correo Correo
Proveedor
Descripción Proveedor
Dirección
Procedimiento
Contacto Principal Contacto Alterno
Teléfono Oficina Teléfono Oficina
Teléfono Movil Teléfono Movil
Correo Correo
Proveedor
Descripción Proveedor
Dirección
Procedimiento
Contacto Principal Contacto Alterno
Teléfono Oficina Teléfono Oficina
Teléfono Movil Teléfono Movil
Correo Correo
LISTA DE CONTACTOS EXTERNOS
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 109 de 123
8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS
Proceso/Producto/Servicio
Duración Estimada
Duración Real
Lugar de Ejecución
Comité de crisis lideres de operaciónEvaluadoresObservadores
5
MÉTODO A USAR EN LA EJECUCIÓN DE LA PRUEBA
Se describe de manera general el procedimiento a llevar a cabo para el eficaz desarrollo de la prueba. (Orden del día)
Ejecutores
ESCENARIO DE INTERRUPCIÓN
3
4 Describir los productos (output) que se esperan obtener al finalizar la ejecución de la prueba.
RESULTADOS ESPERADOS
Describir las circunstancias y/o los eventos de interrupción a considerar durante el desarrollo de la prueba con el fin de ambientar la situación bajo la cual el plan de contingencia podría ser activado para
el proceso objeto de la prueba.
2
Tipo de prueba
Código de Referencia de la prueba
1
OBJETIVOS ESPECÍFICOS (Enunciar las acciones y/o actividades a desarrollar para lograr el objetivo general de la prueba)
ALCANCE
Establecer los elementos que hacen parte del proceso o servicio objeto de la prueba.
OBJETIVO GENERAL (Definir claramente lo que se quiere lograr con el desarrollo de la prueba)
Procedimientos involucrados
CO
NT
RO
L D
E P
RU
EB
AS
OBJETIVOS
Fecha Programada (dd/mm/aa)
Fecha de Ejecución (dd/mm/aa)
Riesgos
ResponsableRiesgo y/o Dificultades Impacto Acción
Identificar y describir los riesgos asociados a la ejecución de la prueba. En la identificación se deben tener en cuenta aspectos como: la afectación del servicio, la imagen, las capacidades técnicas,
entre otros.
6
Integrantes de las Pruebas (Nombres)
7
GUIÓN DE PRUEBA
Plan de pruebas del BCP de KPMG ABCDABCD
ESCRITORIO
Responsables
Completamente
satisfactorio
Completamente
satisfactorio
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 110 de 123
días
16/07/2010 8
ABCD
Responsables
Plan de pruebas del plan de Continuidad de Negocio
Paso a Paso de la PLANEACIÓN
Recursos mínimos necesarios
5
2.
Observaciones de la Fase de Planeación de la Prueba
´1.
TiempoÍtem Descripción de la Actividad
1
Fecha y/o hora
inicio
Estimada / Real
Fecha y/o hora
finalización
Estimada / Real
3.
ABCD
Fecha finalización y tiempo estimado
2
3
4
6
minutos
ABCD
Días / Horas / Minutos
ABCD
Paso a Paso de la EJECUCIÓN
Observaciones de la Fase de Ejecución de la Prueba
1.
2.
Plan de pruebas del plan de continuidad de negocio
Fecha finalización y tiempo estimado
3
2
1
TiempoÍtem Descripción de la Actividad
Fecha y/o hora
finalización Responsables Recursos mínimos
Fecha y/o hora
inicio
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 111 de 123
ABCD
0
ABCD
n
Plan de pruebas del plan de continuidad de negocio
Observaciones de la Fase de Retorno a la Operación Normal
1.
2.
Fecha y/o hora
finalización Tiempo
Días / Horas / Minutos
Ítem Descripción de la Actividad Responsables Recursos mínimos
Fecha y/o hora
inicio
1 No aplica (N/A)
Paso a Paso del RETORNO
Fecha finalización y tiempo estimado
3
2
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 112 de 123
dd mm aa
Lugar de la prueba
Cargo
Comentarios y/o Recomendaciones
¿Identificó oportunidades de mejora en cuanto al tiempo empleado en la ejecución de la prueba? Sí
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la administración del tiempo durante la ejecución de la prueba.
La duración de la prueba fue: (Marque con una X)
En la realización de las pruebas son muy importantes sus comentarios y recomendaciones. Estos ayudan a mejorar y actualizar el programa de continuidad de negocio. Por
favor escoja la respuesta adecuada y suministre cualquier comentario adicional.
Excesivamente larga Por debajo del tiempo estimado Adecuada
Excesivamente corta Sobrepasó el tiempo estimado
1
Evaluador
FIRMA
ABCD
ENCUESTA DE SATISFACCIÓN
Info
rmació
n g
en
era
l
Proceso/Producto/Servicio
Evaluación
Plan de pruebas del plan de Continuidad de NegocioABCD
Tipo de Integrante(Señale con una X)
Ejecutor Escritorio
Por componentes
Integrada
Planeación
Prueba No.
Fase en la que participó
Tipo de Prueba(Señale con una X)
Ejecución
Retorno
Fecha
Duración de la prueba
Observador
Nombres y Apellidos Institución
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 113 de 123
¿Identificó oportunidades de mejora en cuanto al escenario definido para el desarrollo de la prueba y en cuanto a los recursos mínimos
utilizados en la misma?
Sí
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer y mejorar el escenario definido para el desarrollo y los recursos
mínimos utilizados en el desarrollo de la misma.
Comentarios y/o Recomendaciones
Comentarios y/o Recomendaciones
3
2
¿Cómo fueron las instrucciones que recibió para ejecutar la prueba? (Marque con una X)
Muy básicas Apropiadas y fáciles de entender Adecuadas
Muy complejas Inapropiadas e insuficientes
Identificó oportunidades de mejora en cuanto a la forma como fueron comunicadas las instrucciones para participar en la prueba? Sí
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la definición de las instrucciones y la forma como deben ser
comunicadas a los participantes.
¿Fue suficientemente realista la prueba para validar la efectividad del plan y/o procedimientos contingentes? (Marque con una X)
Completamente en desacuerdo De acuerdo
Completamente deacuerdo En desacuerdo
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 114 de 123
4
¿Cuántos problemas y/o debilidades y/o aspectos por mejorar identificó durante el desarrollo de la prueba? (Marque con una X)
De 1 a 2 De 5 a 6 Ninguno
De 3 a 4 Más de 6
Por favor mencione los problemas y/o debilidades y/o aspectos por mejorar que identificó:
Comentarios y/o observaciones
Si identificó problemas y/o debilidades y/o aspectos por mejorar por favor enuncie algunas recomendaciones para fortalecer dichos aspectos.
No
6
¿Que tan efectiva fue la prueba? (Marque con una X)
Poco efectiva Medianamente efectiva Muy Efectiva
Satisfactoria Efectiva
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.
5
¿Se alcanzaron los objetivos de la prueba? (Marque con una X)
Sí No Parcialmente Sin información
Si su respuesta anterior fue No o Parcialmente , por favor describa las razones por las cuales ud. cree que no se alcanzaron satisfactoriamente los objetivos trazados para esta prueba.
Comentarios y/o Recomendaciones
Comentarios y/o Recomendaciones
Identificó oportunidades de mejora en cuanto a la efectividad de la prueba? Sí
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 115 de 123
7
Califique la efectividad de los procedimientos (Paso a Paso) establecidos en cada una de las etapas para llevar a cabo la prueba (Marque
con una X)
Poco efectivos Poco Efectivos Poco
Efectivos
Medianamente Medianamente
Efectivos Efectivos Efectivos
Satisfactorios Satisfactorios
Satisfactorios
Efectivos Efectivos Efectivos
Sí
No
Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.
8
¿Cúal es su calificación general del desarrollo de la prueba respecto a los resultados obtenidos? (Marque con una X)
Completamente satisfactorio Adecuado Insatisfactorio
Comentarios y/o Recomendaciones
Fase de planeación Fase de Ejecución Fase de Retorno
Comentarios y/o Recomendaciones
¿Identificó oportunidades de mejora en cuanto a la efectividad de los procedimientos (Paso a Paso) definidos para llevar a cabo la
prueba?
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 116 de 123
8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION
FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN
Activación Hora DD/MM/AA
Retorno Hora DD/MM/AA
Finalización Hora DD/MM/AA
Activación de los planes de:
COMUNICACIÓN DE LA ACTIVACIÓN DEL PLAN
Cargo Informado No
informado Secretaria General Informado
No
informado
El Presidente del
Icetex
Secretaria General
Vicepresidente
Financiero
Vicepresidente de Crédito
y Cobranza
Vicepresidente de
Fondos en
Administración
Director de Tecnología
Jefe de la Oficina
Jurídica
Oficial de Cumplimiento
Jefe Oficina de
Riesgos
Jefe de la Oficina de
Control Interno
Jefe Oficina de
Comunicaciones
FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN
Observación (describa la hora vs las actividades y/o decisiones tomadas
Hora Actividad
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 117 de 123
8.6 ANEXOS RESULTADOS
8.6.1 EQUIPO DE TRABAJO DEL PCN
Dependencia Area Líder PCN Líder Proceso
Vicepresidencia de Crédito y Cobranza Natalia Caycedo Edith Cecilia Urrego Herrera
Grupo de Crédito María Victoria Camargo
Grupo de Cartera Ofrey Marin Saenz
Vicepresidencia de Fondos en
AdministraciónDiana Patricia Olaya Campo Elias Vaca Peril la
Oficina de Relaciones Internacionales Diana Carolina Gómez William Barreto
Oficina Comercial y Mercadeo Luyfer Osorio Andres Felipe Murillo
Vicepresidencia Financiera Grupo de Presupuesto Jorge Nelson Gaitan LeonWilson Eduardo Pineda
Jorge Nelson Gaitan Leon
Dirección de Contabilidad Jorge Enrique Molina Ramírez Wilson Eduardo Pineda
Dirección de TesoreríaCatalina Peña
José Gómez
Wilson Eduardo Pineda
Ana Cecilia Arboleda Marín
Oficina Asesora Jurídica Ricardo Cortés Pardo Campo Elias Vaca Peril la
Dirección de Tecnología Victor Raul Bautista Galindo Francisco Pulido Fajardo
Oficina Asesora de Comunicaciones Andres Mauricio Rivera Sánchez Amanda Ramírez
Secretaria General Coordinadora Grupo de Contratos Ingrid Marcela Garavito María Eugenia Méndez Munar
Coordinadora Grupo Correspondencia Luz Marielly Morales
Coordinador Grupo de Archivo Gerardo Alonso Rodríguez Pineda
Coordinadora Grupo Talento Humano Miryam Cardona Giraldo
Coordinador Grupo Recursos Físicos Gloria Nancy Méndez Ibañez
Oficina de Riesgos Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez
Oficial de Cumplimiento Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez
Oficina Asesora de Planeación Edgar Fabio Díaz Ramírez Rodrígo Fernando Acosta Trujil lo
Oficina de Control Interno Carlos Eduardo Cruz Luz Alba Sánchez Sánchez
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 118 de 123
8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA
Se adelantó la Evaluación BIA, aplicando la metodología establecida en el Icetex, se llevó a cabo con la participación de la Oficina de Riesgos, los Líderes de PCN y de Proceso. Este análisis contiene:
PROCESOS Y PROCEDIMIENTOS ANALIZADOS
El Grupo de Trabajo de PCN analizó la totalidad de los procesos con los que cuenta la Entidad, revisando 134 procedimientos. Tal evaluación fue validada y aprobada por los Lideres del Proceso y en constancia firmaron el Acta resumen correspondiente. Estos procedimientos fueron calificados como se ilustra en el siguiente cuadro, los cuales están agrupados por tipo de proceso:
Los resultados indican que los procedimientos calificados en: Nivel 1AAA, Nivel 1AA, Nivel 1ª y Nivel 2, cuyo tiempo objetivo de recuperación (RTO) oscila entre 4 y 48 horas son considerados como críticos – prioritarios para la Entidad, suman 32 procedimientos y es de vital importancia establecer la estrategia de continuidad para cada uno de estos procedimientos. Los restantes 102 procedimientos fueron calificados entre los niveles 3 al 6, lo que indica que permiten un tiempo mayor de recuperación. Los procedimientos calificados como críticos son:
TIPO PROCESO
NO. PROCESOS
Nivel 1AAA
4 horas
Misión Crítica
Nivel 1AA
8 horas
Misión Crítica
Nivel 1A
24 horas
Masivo
Nivel 2
48 horas
Masivo
Nivel 3
7 días
Medio
Nivel 4
14 días
Medio
Nivel 5
30 días
Bajo
Nivel 6
>30 días
Insignificante
MISIONAL 14 38 1 1 4 14 7 7 4
APOYO 19 68 1 11 9 17 10 11 9
ESTRATEGICOS 7 24 2 2 8 6 6
EVALUACION 1 4 1 2 1
TOTAL 41 134 1 1 15 15 31 25 26 20
NIVEL DE CALIFICACION BIA POR PROCEDIMIENTO
VALOR BIA:
RTO:
CALIFICACION BIA:
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 119 de 123
TIEMPO OBJETIVO DE RECUPERACION – PROCEDIMIENTOS PRIORITARIOS PARA LA ENTIDAD
A continuación se detalla los procedimientos críticos y sus necesidades de recursos, de acuerdo con la calificación BIA obtenida:
NIVEL 1ª MASIVOS – TIEMPO DE RECUPERACION MENOR A 24 HORAS
A continuación se detallan los procedimientos críticos que requieren de un tiempo de recuperación menor a 24 horas y los recursos que se necesitan para operar:
N - 1AAA
4 horas
Misión crítica
Atención al cliente Otorgamiento de becas colombianos en el exterior
N - 1AA
8 horas
Misión crítica
Cumplimiento de operaciones de inversiónOtorgamiento de becas posgrados para extranjeros en
Colombia
Gestión de legalización y renovación para
aprobación del desembolsoCierre de cartera
Actualización de contenidos en la página WebFacturación época de estudios, período de gracia y
amortización
Custodia de Garantías Base de datos
Suscripción y legalización de contrato, convenio,
ordenes de servicio y/o compraSoporte a Infraestructura
Gestión de correspondencia externa Atención acciones de tutela
Registro presupuestal de compromisos Consulta de archivo
Registro presupuestal de obligaciones Apoyo logístico
Causaciones y cuentas por pagar Liquidación de nómina
Generación de información exógena, elaboración y
transmisión de informaciónExpedición del certificado de disponibilidad presupuestal
Presentación y pago de impuestos Análisis contable con sus contrapartidas críticas
Giro Cierre contable mensual
Servicio a la deuda Aplicación del modelo de referencia de cartera comercial
Gestión de incidentes de seguridad Medición, transmisión y seguimiento del VaR
Gestión de vulnerabilidades
Requerimientos Entes de Control
NIVEL PROCEDIMIENTO
Nivel 2
48 horas
Masivo
NIVEL 1A
24 horas
Masivo
NIVEL PROCEDIMIENTO
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 120 de 123
NIVEL 2 – MASIVOS – TIEMPO DE RECUPERACION 48 HORAS
Con esta calificación fueron evaluados quince (15) procedimientos, los cuales se detallan a continuación con los recursos necesarios para operar:
RECURSO
HUMANO
RECURSO
HUMANO
OUTSOURCING
COMPUTADOR TELEFONO IMPRESORA ESCANER
1Gestion de legalización y
aprobación del desembolso8 8 3 SI SI <=24 Horas
C&CETEX
Cobol
2Actualización de contenidos en
Página Web1 1 1 SI <= 24 horas
Internet
Office
Correo electrónico
3 Registro presupuestal de
compromisos2 1 1 SI <= 8 horas Apoteosys
4 Registro presupuestal de
obligaciones0 SI <= 24 horas Apoteosys
5Causaciones y cuentas por pagar 1 1 <= 24 horas Apoteosys
6Presentación y pago de impuestos 1 <= 24 horas Apoteosys
7 Generación de información
exógena, elaboración y
transmisión de información
1 <= 24 horas Apoteosys
8
Giro 2 1 1 SI SI <= 4 Horas
Apoteosys
Office
Internet
9
Servicio a la deuda 1 1 SI SI <= 4 HorasOffice
Internet
10 Gestion de correspondencia
externa2 1 1 SI SI <= 4 Horas Mercurio
11
Custodia de garantias 1 3 1 1 SI <= 8 horas
Mercurio
SGD V2.0 -MTI
Página Web
12 Suscripción y legalización de
contrato, convenio, ordenes de
servicio y/o compra
2 2 SI <= 4 HorasCorreo electrónico
Office
13Gestión de incidentes de seguridad 1 1 1 SI <= 24 horas
Correo
electrónico
14
Gestion de vulnerabilidades 1 1 SI <= 24 horas
Gestor de
Vulnerabilidades
MacAFFE
15
Requerimientos Entes de Control 2 2 1 SI SI <= 24 horas
C&CETEX
Apoteosys
Cobol
Total Requerimientos 26 3 21 10
PROCEDIMIENTONo.PRINCIPALES
APLICATIVOS
REQUERIDOS
BIENES MUEBLESRECURSO HUMANO
RPO
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 121 de 123
RESUMEN DE INFRAESTRUCTURA REQUERIDA
Durante la actividad BIA se identifica la infraestructura requerida para el desarrollo de todos y cada uno de los procedimientos y especialmente los críticos, lo que permite enfocar los esfuerzos de prevención y recuperación sobre los elementos críticos de la infraestructura.
RECURSO
HUMANO
RECURSO
HUMANO
OUTSOURCING
COMPUTADOR TELEFONO IMPRESORA ESCANER
1Otorgamiento de becas
colombianos en el exterior2 2 1 SI <= 4 Horas
Bizagi
C&CETEX
Fox-Pro
2
Otorgamiento de becas
posgrados para extranjeros
en Colombia
1 1 1 > 30 días
Bizagi
Apoteosys
Correo electrónico
3 Cierre de cartera 1 2 1 <= 24 horas
C&CETEX
Apoteosys
Correo electrónico
4
Facturación epoca de
estudios, período de gracia y
amortización
1 1 <= 24 horas
C&CETEX
Correo electrónico
Office
5 Atención acciones de tutela 3 3 1 SI SI <= 24 horas
Mercurio
C&CETEX
Correo electrónico
6Expedición del certificado de
disponibilidad presupuestal0 0 0 SI <= 8 horas
Apoteosys
Correo electrónico
Office
7Análisis contable con sus
contrapartidas críticas1 1 <= 24 horas
Apoteosys
Correo electrónico
8 Cierre contable mensual 1 1 1 SI <= 24 horas
Apoteosys
C&CETEX
Correo electrónico
9 Consulta de archivo 1 3 1 1 SI <= 8 horas
Mercurio
SGD V2.0 -MTI
Correo electrónico
10 Liquidación de nómina 2 2 1 SI > 30 días
Queryx SRH
Correo electrónico
Office
11 Apoyo logístico 2 2 1 SI <= 48 horas
Office
Apotesoys
Correo electrónico
12 Base de datos 1 1 <= 24 horasOracle
TOAD
13 Soporte Infraestructura 1 6 2 1 <= 48 horas Correo electrónico
14
Aplicación del modelo de
referencia de cartera
comercial
1 1 <= 24 horasOffice
Correo electrónico
15Medición, transmisión y
seguimiento del VaR1 1 <= 24 horas
Internet
Sevinpro
IG Metrica
Total Requerimientos 19 11 20 8
PROCEDIMIENTO
PRINCIPALES
APLICATIVOS
REQUERIDOS
BIENES MUEBLESRECURSO HUMANORPONo.
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 122 de 123
En la siguiente tabla se desprende la síntesis de los recursos requeridos en contingencia, clasificados por Calificación BIA, con el fin de dimensionar las necesidades de infraestructura de acuerdo con el apetito al riesgo para el PCN de estos procesos ante un evento de interrupción desde un sitio alterno:
Resumen de Infraestructura requerida
Dado que se encuentra clasificado por niveles de prioridad de los procedimientos para
continuidad, es posible tomar distintas decisiones del alcance del PCN. De acuerdo con el
propósito de tener estrategia de continuidad bajo el escenario de Interrupción de Lugar para los
32 procedimientos calificados como críticos (cuyo tiempo objetivo de recuperación comprende de
4 a 48 horas), es necesario operar con:
51 puestos de trabajo para ese mismo número de colaboradores 47 computadores 27 teléfonos
5 impresoras 3 escáneres
PUNTO OBJETIVO DE RECUPERACION – RPO
El cuestionario BIA midió el tiempo tolerable en que la Entidad está dispuesta a perder de
información ante una interrupción en la tecnología de información por fallas. Los resultados
arrojados son los siguientes:
RECURSO
HUMANO
RECURSO HUMANO
DE OUTSOURCINGCOMPUTADOR TELEFONO IMPRESORA ESCANER
RECURSO
HUMANO
RECURSO HUMANO
DE OUTSOURCINGCOMPUTADOR TELEFONO IMPRESORA ESCANER
N - 1AAA
4 horas
Misión crítica
6 7 6 5 1 1 6 7 6 5 1 1
N - 1AA
8 horas
Misión crítica
2 0 1 1 0 0 8 7 7 6 1 1
N - 1A
24 horas
Masivo / alto
24 3 19 12 2 2 32 10 26 18 3 3
Nivel 2
48 horas
Masivo / alto
19 8 21 9 2 0 51 18 47 27 5 3
Nivel 3
7 días
Medio
20 681 18 7 0 0 71 699 65 34 5 3
Nivel 4
14 días
Medio
10 11 10 4 0 0 81 710 75 38 5 3
Nivel 5
30 días
Bajo
12 3 12 2 0 0 93 713 87 40 5 3
Nivel 6
> 30 días
Insignificante
14 0 14 3 0 0 107 713 101 43 5 3
107 713 101 43 5 3
TOTALES POR NIVELES DE CALIFICACION BIA
NIVEL RECURSO HUMANO BIENES MUEBLES
RECURSOS POR NIVELES DE CALIFICACION BIA
BIENES MUEBLESRECURSO HUMANO
Código:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 123 de 123
Los restantes 34 procedimientos fueron evaluados para un RPO mayor a 24 horas. Actualmente el Icetex realiza backups de la información a los aplicativos con una frecuencia de cada 24 horas. Como se aprecia en el cuadro, el Grupo de Trabajo de PCN en un 50% considera adecuado la protección de datos cada 24 horas y en un 25% hasta puede superar la periodicidad de protección de ese tiempo; la diferencia del 25% requiere backup con frecuencia inferior al día. Esta información es significativa para la Entidad para el establecimiento de estrategias y políticas de backup de la información. APLICATIVOS CRITICOS
Con la información de los Requerimientos Tecnológicos se logró establecer la criticidad de los aplicativos de acuerdo con el uso en los procedimientos, resultado que permite confirmar la necesidad de mantener una adecuada política de protección de los datos de los aplicativos y su contingencia siendo el resultado el siguiente:
26 Procedimientos requieren que el 7 Procedimientos requieren que el 67 Procedimientos requieren que el
RPO <= 4 Horas RPO <= 8 Horas RPO <= 24 Horas19% 5% 50%
Aplicativos implicados Aplicativos implicados Aplicativos implicados
C&CETEX MERCURIO C&CETEX
APOTEOSYS APOTEOSYS APOTEOSYSMERCURIO MERCURIOBIZAGI MAC PAGINA WEB IG METRICASEVINPRO REPORTEADORDECEVAL ORACLE
Aplicativo Procedimientos Observaciones
PAGINA WEB 12 Durante el período 14/05/2012 -
16/07/2012 se realizaron 2.598.956 visitas
a la Página Web del Icetex, efectuada por
1.265.725 usuarios (promedio de 2 visitas
por usuario).
CORREO ELECTRONICO 102
C&CETEX 56
OFFICE 47
APOTEOSYS 32
INTERNET 25
MERCURIO 12
COBOL 9
IG METRICA 6
BIZAGI 5
UTILIZACION DE LOS APLICATIVOS EN LOS PROCEDIMIENTOS