LB
Subido porLeonardo Lenin Banegas Barahona
5,879 vistas

Manual continuidad negocio

Este documento presenta el manual de administración del plan de continuidad del negocio del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior (Icetex). El manual describe los objetivos, alcance, conceptos básicos, causas de interrupción, gobernanza y fases de la administración del plan de continuidad, con el fin de asegurar que el Icetex pueda responder a emergencias, recuperarse de ellas y mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos

Incrustar presentación

Descargado 201 veces
1 / 123
2 / 123
Lo más leído
3 / 123
4 / 123
5 / 123
6 / 123
7 / 123
8 / 123
9 / 123
10 / 123
11 / 123
12 / 123
13 / 123
14 / 123
15 / 123
16 / 123
17 / 123
18 / 123
19 / 123
20 / 123
21 / 123
22 / 123
23 / 123
24 / 123
25 / 123
26 / 123
27 / 123
28 / 123
29 / 123
30 / 123
31 / 123
32 / 123
33 / 123
34 / 123
35 / 123
36 / 123
37 / 123
38 / 123
39 / 123
40 / 123
41 / 123
42 / 123
43 / 123
44 / 123
45 / 123
46 / 123
47 / 123
48 / 123
49 / 123
50 / 123
51 / 123
52 / 123
53 / 123
54 / 123
55 / 123
56 / 123
57 / 123
58 / 123
59 / 123
60 / 123
61 / 123
62 / 123
63 / 123
64 / 123
65 / 123
66 / 123
67 / 123
68 / 123
69 / 123
70 / 123
71 / 123
72 / 123
73 / 123
74 / 123
75 / 123
76 / 123
77 / 123
78 / 123
79 / 123
80 / 123
81 / 123
82 / 123
83 / 123
84 / 123
85 / 123
86 / 123
87 / 123
88 / 123
89 / 123
90 / 123
91 / 123
92 / 123
93 / 123
94 / 123
95 / 123
96 / 123
97 / 123
98 / 123
99 / 123
100 / 123
101 / 123
102 / 123
103 / 123
104 / 123
105 / 123
106 / 123
107 / 123
108 / 123
109 / 123
110 / 123
111 / 123
112 / 123
113 / 123
114 / 123
115 / 123
116 / 123
117 / 123
118 / 123
119 / 123
120 / 123
121 / 123
122 / 123
123 / 123
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 1 de 123 MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Mayo de 2013
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 2 de 123 Contenido 1 INTRODUCCION 4 2 OBJETIVOS 4 2.1 OBJETIVO GENERAL 4 2.2 OBJETIVOS ESPECIFICOS 4 3 ALCANCE 5 4 CONCEPTOS BASICOS 5 5 CAUSAS DE INTERRUPCION 7 6 GOBIERNO DE CONTINUIDAD 8 6.1 LINEAMIENTOS 8 6.2 NORMAS EXTERNAS 9 6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10 6.3.1 COMITE SARO - SARLAFT 10 6.3.2 LIDERES PCN 14 6.3.3 OFICINA DE RIESGOS 15 6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15 6.5 ENTRENAMIENTO 15 7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17 7.1 FASE DE PREVENCION 17 7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 17 7.1.2 ETAPA DE ANALISIS DE RIESGOS 23 7.1.3 ETAPA DE ESTRATEGIA 30 7.1.4 ETAPA DE PRUEBAS 34 7.1.5 ETAPA DE MANTENIMIENTO 37 7.2 FASE DE ADMINISTRACION DE CRISIS 38 7.2.1 CONCEPTO 38 7.2.2 OBJETIVOS 38
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 3 de 123 7.2.3 ALCANCE 38 8 ANEXOS 39 8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39 8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51 8.3 ANEXOS DE PROCEDIMIENTOS 93 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 93 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 95 8.4 ANEXOS DE TABLAS 98 8.4.1 TIPOS DE AMENAZA 98 8.4.2 TIPOS DE VULNERABILIDADES 99 8.4.3 CRITERIOS DE FRECUENCIA 100 8.4.4 CRITERIOS DE IMPACTO 101 8.5 ANEXOS FORMATOS 102 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 102 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 106 8.5.3 CASCADA TELEFONICA 107 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 109 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 116 8.6 ANEXOS RESULTADOS 117 8.6.1 EQUIPO DE TRABAJO DEL PCN 117 117 8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA 118
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 4 de 123 1 INTRODUCCION El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el menor tiempo posible, garantizando la continuidad del instituto. La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa, para responder organizadamente a eventos que interrumpen la normal operación de sus procesos y que pueden generar impactos sensibles en el logro de los objetivos. El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. 2 OBJETIVOS 2.1 OBJETIVO GENERAL Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la atención de clientes y la operación. 2.2 OBJETIVOS ESPECIFICOS  Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena administración de la crisis.  Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio.  Asegurar una pronta restauración de las operaciones afectadas por el evento.  Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 5 de 123  Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera de Colombia. 3 ALCANCE La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la organización para poder continuar operando durante un incidente o desastre, a través de la implementación de un plan de continuidad, el cual contempla los lineamientos de administración de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad. De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de crisis y los demás sistemas de gestión. 4 CONCEPTOS BASICOS Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la organización, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad del negocio. Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo. Abarca las personas, procesos de negocios, tecnología e infraestructura. Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el cual puede causar interrupción o reducción en la calidad del servicio y en la productividad. Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un incidente o un desastre. Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 6 de 123 Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción1 . Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del negocio. Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, igual que los recursos necesarios para su uso2 . Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos. Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre otros. Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias vulnerabilidades con impactos adversos resultantes para la Entidad. Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la naturaleza de la vulnerabilidad. Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación 1 Concepto tomado del Capítulo XXIII – Reglas relativas a la administración del riesgo operativo – de la Circular Básica Contable de la Superfinanciera. 2 Concepto tomado del Capítulo XII – Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica Jurídica de la Superfinanciera.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 7 de 123 física a personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad: Confiabilidad, disponibilidad y recuperabilidad. Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el riesgo o potenciar oportunidades positivas. Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin controles. Riesgo residual: Riesgo remanente tras la aplicación de controles. 5 CAUSAS DE INTERRUPCION Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios:  Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.  No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso crítico se debe contar con un sitio alterno de trabajo, el cual puede ser: • Suministrado por la Entidad, Ejemplo: Otra sede. • Suministrado por un proveedor, contratista o aliado estratégico.  Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano.  No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado, adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el Icetex.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 8 de 123 6 GOBIERNO DE CONTINUIDAD 6.1 LINEAMIENTOS El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su impacto sobre el negocio. Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:  El plan de continuidad de negocio está orientado a la protección de las personas, así como al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre.  Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos definidos y conocer claramente los roles y responsabilidades que le competen en el marco de la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de los Planes de Contingencia del Negocio.  En caso de presentarse un incidente significativo se deben aplicar los mecanismos de comunicación apropiados, tanto internos como externos, de acuerdo con el manual de Comunicación en Situaciones de Crisis.  Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de la Entidad, con la guía y coordinación de la Oficina de Riesgos.  Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios para el área que representa.  Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la siguiente frecuencia: o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus necesidades.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 9 de 123 o El monitoreo a los riesgos de continuidad se efectuará de manera semestral. o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas. o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de contingencia.  Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en los Planes de Continuidad del Negocio.  La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación de Tolerable.  Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan.  Los planes de contingencia deben mantenerse actualizados, para lo cual se deben desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen las áreas involucradas. 6.2 NORMAS EXTERNAS La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un Plan de Continuidad de Negocios, que cumplan con los siguientes elementos:  Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal.  Circular 038/2009 – Sistema de Control Interno: Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad para responder a las fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la normalidad.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 10 de 123  Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas. Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este documento. 6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO Para asegurar una adecuada administración de la continuidad del negocio se estableció un estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de Proceso, como de la Alta Gerencia. Esa administración está conformada por: 6.3.1COMITE SARO - SARLAFT La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO – SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es responsable de administrar la continuidad de la operación del Instituto. A continuación se mencionan los integrantes del comité, su rol y responsabilidad frente a este item: COMITÉ SARO – SARLAFT ROLES DE CONTINGENCIA Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad Jefe de Riesgos Director Alterno de Continuidad Secretaria General Líder de Administración /Recuperación Infraestructura Física Director de Tecnología Líder de Recuperación Tecnológica Vicepresidente Financiero Coordinadores de Recuperación Vicepresidente de Crédito y Cobranza Vicepresidente de Fondos en Administración Jefe de Control Interno Tareas de apoyo, control y cumplimiento Jefe Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Jefe oficina Asesora de Comunicaciones (Su participación será por solicitud del Comité SARO-SARLAFT) Asesor de Comunicaciones Roles de Miembros de Comité SARO - SARLAFT
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 11 de 123 En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de Comunicaciones. A) ROLES Y RESPONSABILIDADES A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus suplentes (alternos) tienen las mismas responsabilidades. Director de Continuidad El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO- SARLAFT o en situaciones donde amerite realizar su activación inmediata. Responsabilidades  Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de actualizar, mantener y probar el plan de continuidad.  Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de recuperación y contingencia de la entidad.  Liderar las reuniones del Comité SARO – SARLAFT.  Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la entidad y que ponen al descubierto debilidades del plan de continuidad.  Monitorear los reportes sobre el estado de recuperación o evaluación durante una contingencia.  Velar por la seguridad del personal que actúa en el área del evento.  Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario de interrupción de lugar teniendo en cuenta el resultado de la evaluación  Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la contingencia. Director Alterno de Continuidad  Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste no se encuentre disponible.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 12 de 123  Es responsable de declarar la contingencia ante un incidente tecnológico de algún aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de Tecnología.  Realizar las actividades que le sean asignadas por el Director de Continuidad. Líder Administrativo El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la operación. Responsabilidades  Coordinar el suministro de elementos esenciales como transporte, recursos de infraestructura y papelería.  Gestionar la consecución y adecuación de los centros alternos de operaciones según el plan de operaciones en contingencia.  Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros. Líder de Recuperación Tecnológica Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de continuidad implementadas. Es el contacto directo entre la Dirección de Tecnología y el Comité SARO - SARLAFT; además, apoya las decisiones tomadas por el Director de Continuidad durante la declaración y activación de la contingencia. Responsabilidades  Liderar la recuperación tecnológica, basados en las estrategias de continuidad implementadas.  Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la operación normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad.  Mantener comunicación constante entre Coordinadores de Recuperación del Negocio durante el estado de contingencia.  Colaborar en la comunicación a los proveedores de los temas o servicios de su competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.  Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la recuperación.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 13 de 123  Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y responsabilidades, disponibilidad de los recursos, entre otros.  Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en las mismas.  Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Coordinadores de Recuperación Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de procesos de negocio críticos, basados en las estrategias de contingencia. Son el contacto directo entre los procesos de negocio y el Comité SARO-SARLAFT; además, colaboran con las decisiones tomadas por el Director de Continuidad y el Comité SARO-SARLFT durante la declaración y activación de la contingencia. Responsabilidades  Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las interrupciones que están afectando la prestación del servicio.  Ejecutar los planes de contingencia ante el incidente presentado.  Identificar los posibles riesgos que afectan la continuidad de la operación normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad.  Mantener comunicación constante durante el estado de contingencia.  Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.  Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la recuperación de sus áreas.  Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en la misma.  Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Responsable de tareas de apoyo, control y cumplimiento Responsabilidades  Realizar las actividades que le sean asignadas durante la declaración de contingencia.  Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la funcionalidad del plan.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 14 de 123 Asesor de Comunicaciones El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel externo (clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual de gestión de la comunicación en situaciones de crisis. Responsabilidades  Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en temas de comunicación en momentos de crisis. B) LINEA DE SUCESION Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. CARGO PRINCIPAL CARGO ALTERNO Presidente del Icetex o su delegado, quien presidirá el Comité Jefe de Riesgos Jefe de Riesgos Director de Tecnología Secretaria General Asesor Técnico de Secretaria General Director de Tecnología Coordinador de Infraestructura Vicepresidente Financiero Director de Contabilidad Vicepresidente de Crédito y Cobranza Director de Cobranzas Vicepresidente de Fondos en Administración Analista de Vicepresidente de Fondos en Administración Jefe de Control Interno Coordinador de la Oficina de Control Interno Jefe Oficina Asesora Jurídica Analista de Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Coordinador de Riesgos de Crédito y Operativo Analista de Plan de Continuidad de Negocios Línea de sucesión 6.3.2 LIDERES PCN Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la administración del plan de continuidad sobre los procesos / procedimientos a cargo:  Actuar como punto focal del área para todos los asuntos de continuidad del negocio.  Cumplir con las actividades y fechas establecidas del Cronograma de PCN.  Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de contingencia que les compete.  Asegurar la aplicación correcta de los PCN al interior del área.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 15 de 123  Revisar el impacto en el área durante el incidente.  Mantener actualizados los documentos de PCN del área (BIA, Estrategia de Recuperación, Cascada telefónica, Análisis de Riesgos. etc). En el Anexo No. 8.6.1 se encuentra la Relación de los Líderes de PCN y Líderes de Proceso del Icetex. 6.3.3 OFICINA DE RIESGOS La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad:  Definir e implementar los instrumentos, metodologías y procedimientos tendientes a gestionar efectivamente el PCN.  Suministrar los programas de capacitación de PCN.  Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área.  Guiar en el desarrollo de las diferentes etapas del PCN. 6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO La Administración del Plan de continuidad del Negocio está conformada por los siguientes elementos:  Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no disponibilidad del sitio normal de trabajo y no contar con los proveedores críticos del negocio.  Planes de Recuperación de Desastres – DRP, el cual contempla las diferentes estrategias definidas para la recuperación de los sistemas.  Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio 6.5 ENTRENAMIENTO En el éxito del Plan de Continuidad es fundamental contar con la participación y el compromiso del personal involucrado en el mismo. La administración de continuidad debe asegurar que todos los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que serán los encargados de ponerlos en funcionamiento en caso de presentarse un evento no
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 16 de 123 deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los responsables de la correcta ejecución de los planes. La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo el personal a través de la Secretaria General Grupo de Talento Humano. Dentro de la política de capacitación se contempla suministrar a todos los funcionarios capacitación anual de Plan de Continuidad de Negocios a través de la herramienta e-Learning, así como en el proceso de inducción.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 17 de 123 7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son: 7.1 FASE DE PREVENCION En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto. Está conformada por las siguientes etapas: 7.1.1ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA A) CONCEPTO El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad puede tolerar en caso de un incidente o desastre.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 18 de 123 B) OBJETIVO El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperación de Negocios, es la guía que determina qué necesita ser recuperado y el tiempo requerido para recuperación. C) ALCANCE A través del desarrollo del BIA se obtiene la siguiente información:  Evaluación de los procedimientos, donde se establece cuáles son primordiales para la continuidad de la Entidad.  Determinación de los impactos de una interrupción y cuando empiezan.  Priorización y establecimiento del período de tiempo en el que los sistemas, aplicaciones y funciones deben ser recuperados después de una interrupción (RTO).  Determinación del orden de recuperación.  Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una interrupción en los sistemas de información (RPO).  Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel de: Tecnología, personal, infraestructura y soporte proveedores. D) FASES DEL BIA Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir con los siguientes pasos: i. PLANEACION Contempla los aspectos para el correcto y completo desarrollo del BIA, como son: Identificación Procesos y Procedimientos: Obtener la relación de los procesos y procedimientos para realizar la Evaluación BIA. Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 19 de 123 ii. METODOLOGIA BIA Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación. Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica de la Entidad. La metodología establece el diligenciamiento del “Documento BIA” (ver anexo No. 8.5.1), el cual es aplicado para cada una de los procedimientos que se realizan en la Entidad, utilizando el mismo patrón de calificación. A continuación se detalla el “Documento BIA” diseñado en la herramienta Excel: CUESTIONARIO DE EVALUACION BIA Permite analizar los impactos que puede causar el no ejecutar un procedimiento por encontrarse ante un incidente o desastre. Los impactos contemplados son:  Regulatorio/ Legal: Incluye pérdidas por no presentar reportes financieros o de impuestos en las fechas indicadas, demandas o penalizaciones al incumplir requerimientos obligatorios en las actividades de la Entidad.  Financiero: Incluye pérdida de ingresos, pérdida de intereses, costos de pedir dinero prestado para hacer caja, pérdida de ingresos por préstamos no realizados, penalizaciones por no cumplir compromisos contractuales o niveles de servicio y pérdidas de oportunidades durante el tiempo inoperante.  Reputacional: Incluye la pérdida de confianza por parte de los clientes, del mercado y de los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el servicio, apariciones en las noticias por quejas de los clientes y pérdida de reputación.  Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y oportuna atención a las necesidades de los usuarios.  Operativo: Incluye la suspensión de la operación y los reprocesos que ello puede ocasionar. Para responder las preguntas se debe tener en cuenta la tabla del numeral 8.4.4 de este documento denominada “Criterios del Impacto”. La escala de valoración del impacto es la siguiente: Legal Económico Servicio al Cliente Reputacional Procesos 20 20 40 15 5
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 20 de 123 Escala de Valoración del Impacto El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los clientes por dejar de realizar el procedimiento ante una interrupción. Adicional, existe la pregunta referente a sí el procedimiento analizado proporciona información crítica para cualquier otro procedimiento, con el fin de determinar interdependencias. Como resultado de la evaluación se genera las siguientes valoraciones:  Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados por no ejecutarse el procedimiento. Esto se deriva a través de la realización del cuestionario BIA.  Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto significativo.  Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento de prioridades de recuperación durante una situación difícil. La tabla de valoración establecida es la siguiente: Tabla de valoración del BIA Esta información será el punto de partida para desarrollar las estrategias de recuperación. Calificación BIA Tiempo Objetivo de Recuperación (RTO) Valor del BIA N - 1AAA 4 Horas Misión Critica N - 1AA 8 Horas Misión Critica N - 1A 24 Horas Masivo Nivel 2 48 Horas Masivo Nivel 3 7 días Medio Nivel 4 14 días Medio Nivel 5 30 días Bajo Nivel 6 > 30 días Insignificante Tabla Valoración del BIA
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 21 de 123 Determinación del Punto de Recuperación Objetivo de la información – RPO: El parámetro de Punto de Recuperación Objetivo de la Información determina la periodicidad con la que deben salvaguardarse los datos de los procesos del negocio; cuánto más pequeño sea el RPO más sólido debe ser el mecanismo de protección de datos (backup, replicación online, etc). El cuestionario de Evaluación BIA contiene la pregunta dirigida a establecer el Punto Objetivo de Recuperación (RPO) por procedimiento, la cual permite establecer el apetito de riesgo de pérdida de información ante un incidente tecnológico. Los parámetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que utilice la Entidad. Requerimientos Infraestructura: El análisis de los procedimientos está acompañado de la identificación de los requerimientos de personal, recursos y facilidades necesarias para su operación ante un evento de contingencia. Para ello, se tiene dispuesto la hoja de Cálculo “Requerimientos Tecnológicos” del documento BIA, donde el Líder de PCN diligencia la información referente a:  Número de colaboradores de tiempo completo para ejecutar el proceso.  Recurso humano requerido en contingencia.  Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se determina la criticidad de los aplicativos del Icetex.  Elementos logísticos como son: teléfono, impresora, escáner etc.  Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta compartida del área.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 22 de 123 Información de Proveedores Externos: El BIA identifica la relación del procedimiento con proveedores externos y en la hoja de cálculo denominada “Información Proveedores” del “Documento BIA” se mencionan los proveedores críticos. APROBACION DE LA EVALUACION Cada procedimiento evaluado por la metodología BIA es revisado, analizado y aprobado por el Líder del Proceso y como evidencia se genera el documento “Resultados del Análisis de Impacto de Negocio (BIA)”, el cual es firmado por el Líder de Proceso y Líder de PCN del área. iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben ser informados al Comité SARO – SARLAFT:  Número de procesos y procedimientos evaluados.  Clasificación de los procedimientos por calificación BIA.  Establecimiento de los procedimientos críticos de la Entidad, de acuerdo con la calificación BIA.  Cantidad de recursos humanos requeridos en contingencia: Número de personas que apoyan la contingencia ante una interrupción de las operaciones.  Recursos de Bienes Muebles clasificado por calificación BIA: Se establecen los bienes muebles necesarios en la contingencia, como son: Computadores, teléfonos, escáneres, impresoras y otros elementos necesarios en contingencia.  Dependencia de los proveedores externos en los procesos prioritarios: Definir los proveedores críticos con el fin de involucrarlos en la estrategia de PCN.  Recursos Tecnológicos: Es necesario suministrar la información de:  Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada procedimiento, con el fin de contar con la información necesaria para el alistamiento de los computadores que se disponen como contingencia en el escenario de Interrupción de Lugar. Adicionalmente, esta es la fuente para establecer el orden de criticidad de los aplicativos.  El punto objetivo de recuperación (RPO): Con el fin de establecer las estrategias de backup adecuadas para garantizar que en caso de caída y daño de los data files en una base de datos, se restaure la información con el mínimo de pérdida. En el Anexo No.8.6.2 describe el resultado de la última Evaluación del BIA.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 23 de 123 7.1.2ETAPA DE ANALISIS DE RIESGOS En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas, sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la Entidad, con el fin de medir el nivel del riesgo. A) OBJETIVOS La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de desastre o una interrupción significativa en los servicios. B) METODOLOGIA DE ANALISIS DE RIESGO A continuación se detalla la Metodología de Análisis de Riesgos, la cual cubre los aspectos relacionados a continuación:  Identificación de riesgos de continuidad  Cálculo del riesgo inherente  Evaluación de controles  Cálculo del riesgo residual  Tratamiento del riesgo residual IDENTIFICACION DEL RIESGO El Líder de PCN de cada Área en conjunto con el Analista encargado de la Oficina de Riesgos procede de la siguiente manera: 1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de Análisis de Impacto del Negocio (BIA). 2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA). 3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para ello, es necesario tomar como guía el anexo No. 8.4.1 denominado “Tipos de Amenazas”, donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si tales situaciones pueden darse en el proceso analizado.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 24 de 123 4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada. Para identificarla es necesario responder esta pregunta: ¿Cómo puede ocurrir una amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro del Instituto puede darse esa circunstancia. Se recomienda utilizar como guía con el anexo No. 8.4.2 denominado “Tabla de Vulnerabilidades”, donde se encuentra una relación de debilidades que podrían llegar a generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía pudiendo incluirse muchas otras situaciones de debilidades. 5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad. 6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo con la tabla 8.4.2:  Personas  Infraestructura física  Infraestructura de tecnología de información  Procesos CALCULO DEL RIESGO INHERENTE El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los numerales 8.4.3 “Criterios de Frecuencia” y 8.4.4 “Criterios de Impacto”, las cuales contienen los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar la evaluación.  Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la siguiente escala de medición: Escala de medición 1 2 3 4 5 Muy baja Baja Moderada Alta Muy alta Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en las diferentes vulnerabilidades que conforman el riesgo.  Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de afectación sobre los siguientes factores de influencia:
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 25 de 123 Impactos Regulatorio/ Legal Financiero Servicio al cliente Reputacional Operativo Humano Infraestructura Para establecer el resultado del impacto para cada riesgo se toma la calificación del cuestionario BIA. Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente máximo es 25 y el mínimo es 1. EVALUACION DE LOS CONTROLES Este proceso permite evaluar todos los controles asociados a las vulnerabilidades identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de control para poder dar un adecuado tratamiento al riesgo. Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100. El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables:  Control no documentado, no aporta valor al total del criterio.  Control documentado, aporta al total del criterio una calificación de 8 puntos.  Control aprobado, aporta al total del criterio una calificación de 8 puntos.  Control divulgado, aporta al total del criterio una calificación de 4 puntos, para un total de 20 puntos. El segundo criterio es la Aplicación, el cual aporta un total de 30 puntos, siendo necesario seleccionar una de las tres (3) opciones, así:  El control nunca se aplica, no aporta valor al total del criterio.  Se aplica a discreción, arroja una calificación de 10.  Se aplica siempre, tiene una calificación de 30. Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 26 de 123  Comprobada la efectividad, donde se debe contar con la evidencia física que dada la aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es de 50 puntos.  Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en cuanto a la efectividad del control es positiva. La calificación es de 30 puntos.  Percepción negativa, donde la percepción del experto es negativa en cuanto a la efectividad del control. La calificación es de 10 puntos.  Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo para la prevención y detección de riesgos, dándole una calificación 0 puntos. La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente tabla: Calificación del Control Los controles se clasifican en:  Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con que ocurren las causas del riesgo.  Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen acciones sobre tales detecciones.  Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los eventos que ponen en riesgo el logro de los objetivos del proceso. Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto. CUADRANTES A DISMINUIR EN LA FRECUENCIA CUADRANTES A DISMINUIR EN EL IMPACTO Entre 0 - 50 0 0 Entre 51 - 75 1 1 Entre 76 - 100 2 2 DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA A LOS RIESGOS RANGO DE CALIFICACION DE LOS CONTROLES
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 27 de 123 CALCULO DEL RIESGO RESIDUAL Luego de la valoración de los controles se identifica el efecto de mitigación en frecuencia e impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo residual, así:  Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla “Calificación del Control”, estableciendo el efecto de mitigación que indica la columna “Cuadrantes a disminuir en la frecuencia”. Este valor se resta a la frecuencia obtenida en riesgo inherente.  De igual manera se procede con los controles dispuestos para disminuir el impacto del riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla “Calificación del Control”, estableciendo el efecto de mitigación que indica la columna “Cuadrantes a disminuir en el impacto”. Este valor se resta al impacto obtenido en riesgo inherente.  Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los controles, obteniendo así el Riesgo Residual.  El Riesgo Residual se ubica en la siguiente Escala de Clasificación del Riesgo: Rango de calificación de controles Frecuencia Cuadrante a disminuir en la Frecuencia Valor Frecuencia Residual 80 puntos 4 2 2 Calificación control sobre Impacto Impacto Efecto mitigación Valor Impacto Residual 60 puntos 3 1 2 NIVEL CLASIFICACIÓN 0-3 Aceptable 4-6 Tolerable 7-15 Grave 16-25 Critico Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual 4 3 12 2 2 4
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 28 de 123  Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles: TRATAMIENTO DEL RIESGO RESIDUAL A partir de la evaluación y análisis de los riesgos, se priorizan de mayor a menor “criticidad”, a fin de tomar decisiones de cómo actuar sobre los mismos. Esta metodología pretende actuar sobre los riesgos que estén fuera del rango de aceptabilidad. El tratamiento del riesgo residual debe ir orientado a cualquiera de las siguientes opciones:  Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión administrativa.  Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o minimizar la severidad de su impacto.  Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares, procesos o personas.  Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros, Subcontrataciones. 0 1 2 3 4 5 0 1 2 3 4 5 FRECIUENCIA IMPACTO
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 29 de 123  Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son atractivos en relación con los riesgos involucrados. Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad a través de la creación de nuevos controles o la implementación de modificaciones a los controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones respectivas para su tratamiento y mitigación. Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de realizar la respectiva reclasificación y acordar acciones. C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se requieren para la continuidad del negocio. El Líder de PCN efectúa seguimiento permanente sobre la implementación de los planes de acción y la verificación de la efectividad de los controles y a la vez identificando nuevos riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Líder de PCN de cada una de las áreas con apoyo del Funcionario Responsable en la Oficina de Riesgos y éste es aprobado por el Líder del Proceso. Este monitoreo se realiza en la Matriz de Riesgo de PCN. Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al riesgo fijado por la Entidad. D) REPORTE DE INCIDENTES DE CONTINUIDAD Los incidentes que afecten la continuidad de la operación deben ser reportados por los Líderes de PCN a la Oficina de Riesgos, a través del formato “Reportes de Incidentes de Contingencia” (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la ocurrencia del hecho.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 30 de 123 7.1.3ETAPA DE ESTRATEGIA A) CONCEPTO Corresponden a las acciones que se deben tomar con el objetivo de restablecer las operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o falla en los procesos o funciones críticas. Es necesario identificar las diferentes estrategias de continuidad y seleccionar las más adecuada para la institución, para lo cual el Líder de PCN de cada área junto con el Profesional del tema en la oficina de Riesgos analizarán las variables de:  La criticidad del proceso a proteger  El costo de la estrategia  El tiempo de recuperación objetivo (RTO) B) OBJETIVOS  Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible, con un aceptable nivel de servicio.  Garantizar que los Empleados:  Estén protegidos  Comprenden su papel  Saben a dónde ir  Saben qué hacer  Saben qué recursos necesitan  Entienden la secuencia de las tareas críticas  Ayudar a planificar la recuperación y reanudación de las operaciones.  Validar asuntos de recuperación de la Entidad, como:  Necesidades de telecomunicaciones durante y después del desastre.  Lugar alterno para continuidad/recuperación y reanudación. C) ALCANCE La selección de los métodos alternativos de operación que deben ser utilizados ante una interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 31 de 123 Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son:  Ausencia de personal  Sitio alterno  Fallas tecnológicas D) ESTRATEGIAS POR AUSENCIA DE PERSONAL Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación:  El colaborador ausente activa la Cascada Telefónica y se comunica con el Jefe inmediato.  El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por “Ausencia de Personal”. Distribuye procesos claves o asigna funciones al colaborador Back - up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de información.  El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos. El documento denominado Cascada Telefónica cuenta con la información básica de los colaboradores y proveedores con el ánimo de utilizarlos en un evento de contingencia, como es: Funcionarios: Mantener la información de los colaboradores permite comunicarse con ellos en el evento que se encuentren fuera de las instalaciones. Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la información de contacto. Cada área cuenta con la información de “Cascada Telefónica”, la cual está conformada por:  Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de teléfono personal y sí fue definido como personal crítico para operar la contingencia o no. Se encuentran descritos en el orden que serán llamados ante un evento.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 32 de 123  Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán en la contingencia por cada procedimiento.  Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor, nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto personal, teléfono de la oficina y móvil y correo electrónico. En el numeral 8.5.3 se encuentra el formato de Cascada Telefónica. La información de Cascada Telefónica de cada área la conserva el Líder de PCN y la consolidación de la misma reposa en la Oficina de Riesgos. E) ESTRATEGIA DE SITIO ALTERNO La alternativa de traslado del personal se presenta en el evento que los funcionarios no puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de contingencia permitiendo la continuidad de las operaciones de los procesos críticos del Icetex desde un sitio alterno de operación. Las alternativas podrán ser usadas simultáneamente dependiendo de la disponibilidad del proveedor en el momento de la interrupción del Icetex, además depende de la activación y numero de procesos que se activen según el evento y el día en que se presente. El numeral 8.3.1 “Procedimiento de Estrategia de Sitio Alterno”, aporta las actividades que se deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones alterno. F) ESTRATEGIA TECNOLOGICA La contingencia se presenta cuando el hardware y/o software presenta fallas, o por interrupción prolongada de telecomunicaciones. La Dirección de Tecnología tiene estructurado el siguiente Plan de Continuidad para los aplicativos e infraestructura de la Entidad:
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 33 de 123 Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos), como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen. El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este documento. Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por problemas en los sistemas, descrito en el numeral 8.3.2. G) ESTRATEGIA CONTINGENCIA MANUAL Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que permitan operar sin un sistema base. Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias manuales que se disponen en el numeral 8.2 de este documento. Red Centro Computo Servidor  Switches  Centro cableado  HUB  Firewall  C&CTEX  Apoteosys  Mercurio  Cobol  Bizagi  Sevimpro  Correo Electrónico APLICATIVOS  RED LAN  RED WAN Telecomunicaciones  ETB  Routers  Enlaces  Aire acondicionado  Sistema de incendio  Sistema eléctrico  UPS  Base de datos  Sistema operativo – Software base de datos  Servidor  Hardware INFRAESTRUCTURA
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 34 de 123 7.1.4ETAPA DE PRUEBAS A) CONCEPTO Consiste en probar la efectividad de las estrategias diseñadas y permitir el continuo mejoramiento del PCN de la Entidad. Esta etapa le da a la Institución la oportunidad de identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser atendidas, preparando el negocio para la emergencia real. B) OBJETIVOS  Practicar los procedimientos ante un incidente o desastre.  Identificar áreas que necesitan mejora.  Permitir al PCN permanecer activo, actualizado, entendible y usable.  Demostrar la habilidad de recuperación. C) ALCANCE DE LAS PRUEBAS Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación normal sean mínimas y deben comprender los elementos críticos y simular condiciones de proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir las siguientes tareas:  Verificar la totalidad y precisión del Plan.  Evaluar el desempeño del personal involucrado.  Evaluar la coordinación entre los miembros del grupo de contingencia, proveedores y otros terceros.  Identificar la capacidad de recuperar registros e información vital.  Medir el desempeño de los sistemas operativos y computacionales. Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados, planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 35 de 123 D) TIPO DE PTUEBAS En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las pruebas del plan de continuidad de negocio del Icetex: E) PLAN DE PRUEBAS Para la realización de una Prueba de Estrategia de Continuidad es necesario diligenciar el documento “Plan de Pruebas” (ver anexo No. 8.5.4), conformado por los siguientes pasos:  Guion de pruebas: Es el documento mediante el cual se plasma la intención de efectuar la revisión de la estrategia de continuidad estimada para el proceso o servicio determinado, donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de interrupción, los resultados esperados, los integrantes de las pruebas y los riesgos asociados a la ejecución de la prueba. Este documento debe desarrollarlo previo a la ejecución de la prueba el Líder de PCN responsable del proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.  Paso a paso de la planeación: Este documento relaciona las actividades a efectuar durante la prueba, indicando además los responsables de realizar tales actividades así como los recursos mínimos necesarios y los tiempos de su realización, para la estimación completa TIPO DE PRUEBA TECNICA UTILIZADA OPERACIÓN Integrada  Creación de un escenario  Seguimiento en vivo de todas las estrategias re recuperación  Con previo aviso.  Apoyo de los proveedores de recuperación Prueba integrada con todos los elementos que hacen parte del plan de contingencia. Componentes  Creación de un escenario  Seguimiento de las estrategias de recuperación  Con previo aviso. Se ejecutan las estrategias y procedimientos de recuperación de cada uno de los componentes de la infraestructura tecnológica. Escritorio  Con previo aviso.  Creación de un escenario. Se realiza un ejercicio de papel de un escenario de desastre que toma lugar en un salón de conferencia. Prueba Integrada Pruebas Componentes Pruebas de Escritorio
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 36 de 123 del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son necesarios para la adecuada realización de la prueba. Al igual que en el anterior ítem, este informe debe ser adelantado previo a la ejecución de la prueba por el Líder de PCN responsable del proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.  Paso a paso de la ejecución: Este documento contiene las actividades realizadas en el desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se presenten algún incidente dentro de la prueba. Adicionalmente, se describen los recursos mínimos necesarios, los responsables y los tiempos de ejecución de las actividades. Este informe es elaborado en el momento de la prueba por el Líder de PCN responsable del proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.  Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan para retornar a la operación normal, caso devolución a los puestos de trabajo, captura de las operaciones que no se procesaron en un aplicativo, entre otras.  Encuesta de satisfacción: Este informe lo realizan diferentes integrantes de la prueba, donde se busca determinar el grado de satisfacción de la prueba. La conforman aspectos como: duración de la prueba, preparación de la prueba y la comunicación de la misma, y dificultades que se identificaron.  Acta de reunión: En este documento se establecen los objetivos, conclusiones de la prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros obtenidos en la ejecución de la prueba y los riesgos asociados identificados en la ejecución de la prueba, así como las acciones mitigantes que mejorarán la estrategia de continuidad del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la prueba. Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento “Acta de reunión” dirigido a los participantes y al jefe responsable de proceso.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 37 de 123 7.1.5ETAPA DE MANTENIMIENTO A) CONCEPTO Es la revisión periódica de lineamientos, estrategias, técnicas y planes, capacitación a personal para que el PCN permanezca actualizado con el objetivo de ser capaz de lograr la recuperación de actividades de misión crítica dentro de los objetivos de tiempo de recuperación asegurando una continuidad de sus servicios y productos. B) OBJETIVOS  Verificación y validación de lineamientos, estrategias y planes de PCN.  Detalles de todos los cambios de estrategias del PCN con el historial de control de versiones. C) FACTORES DE ACTUALIZACION Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de éste, que afectan el PCN. A continuación se relaciona una lista de eventos que pueden generar una revisión al PCN:  Requerimientos legales.  Nuevos productos.  Nuevo hardware, plataformas, aplicativos u otros cambios de tecnología (Sistemas Operativos, Bases de Datos).  Cambios en las telecomunicaciones (voz o datos).  Quiebra y/o cambio de un proveedor crítico.  Cambio de instalaciones.  Cambios en el personal o reubicación del mismo.  Transferencia de funciones entre sitios existentes.  Consolidación o tercerización de funciones.  Cambios en proveedores externos críticos.  Resultados de las pruebas del Plan de Continuidad del Negocio.  Cambios en el Sistema de Gestión de Calidad y Procesos.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 38 de 123 7.2 FASE DE ADMINISTRACION DE CRISIS 7.2.1 CONCEPTO En esta fase se gestiona efectivamente el manejo de la crisis, durante y después de la misma; un buen manejo de la crisis minimiza los impactos de una interrupción. 7.2.2OBJETIVOS  Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.  Identificar tipos de emergencias y las respuestas necesarias. 7.2.3ALCANCE Este plan de administración de crisis se ejecuta teniendo como premisa las decisiones del Comité SARO- SARLAFT. Todas las comunicaciones serán dirigidas por el responsable de comunicaciones del Instituto y se apoyarán en el Manual de gestión de la comunicación en situaciones de crisis. Los documentos indicados en los numerales 8.3.1 y 8.3.2 “Escenario de contingencia a sitio alterno” y “Manejo de incidentes por problemas en los sistemas”, sintetizan esta fase, la cual está conformada por las siguientes etapas: Etapa de Evaluación: La evaluación constituye la etapa de valoración preliminar de un evento de interrupción que afecta de forma considerable la Entidad. La evaluación se hace en sitio, teniendo en cuenta los perfiles y competencias necesarios para determinar: causa de la interrupción, población de usuarios afectada, apreciación de la magnitud, valoración del daño, escenario de soluciones, recursos involucrados y tiempo estimado de la solución. Etapa de Activación: Se describen las actividades requeridas para declarar y comunicar el desastre de forma tal que se active la contingencia y se comunique la interrupción a los equipos responsables de recuperar el servicio. Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para restaurar la operación a la normalidad, una vez superada la contingencia y recuperados los servicios de la entidad.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 39 de 123 8 ANEXOS 8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA  Estrategia PCTI – Base de Datos  Estrategia Red WAN  Estrategia Red LAN – Switches  Estrategia – Sistema Operativo – Software de Base de Datos
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 40 de 123 ESTRATEGIA TECNOLÓGICA DE BASE DE DATOS 1. OBJETIVO Recuperar un servidor de base de datos por daño en el sistema manejador de la base de datos que se encuentra en el centro de cómputo ICETEX. 2. ALCANCE El procedimiento aplica para los siguientes escenarios:  Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por una base de datos.  Falla a nivel de Software de Base de datos. 3. CONDICIONES GENERALES Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:  Contrato vigente de soporte y Carta de Servicio ORACLE o MS SQL Server 4. DESCRIPCIÓN DIAGRAMA DE FLUJO
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 41 de 123 ACTIVIDADES ACTIVIDADES O TAREAS No. Act Descripción de la Actividad Observaciones Responsable Recursos requeridos y ubicación 1 Identificar la falla y realizar un diagnóstico interno Administrador de la base de datos 2 Llamar al CONTRATISTA responsable del mantenimiento Llamar a las líneas: Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Dirección de Tecnología (Continuidad_de_negocio) Administrador de la base de datos Contrato 3 Diagnóstico de la situación. Se efectúa un diagnóstico del estado de la base de datos. Administrador de la base de datos y/o contratista 4 ¿Se puede recuperar el servicio en la misma máquina? De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio. En caso afirmativo pasa al punto 5 de lo contrario al punto 6. Administrador de la base de datos y/o contratista 5 Proceder a Se restablece el servicio en el mismo Administrador de la
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 42 de 123 restablecer el servicio servidor y se pasa al paso 10 base de datos y/o contratista 6 Recuperar la hoja de vida de la base de datos La extraerá del repositorio Continuidad_de_negocio de plantillas de hojas de vida de las bases de datos. Administrador de la base de datos, Coordinador de infraestructura, o el Director de tecnología 7 Crear la base de datos en el servidor de contingencia. Toma la hoja de vida y con los comandos de la consola de administración crea la base de datos con los parámetros descritos en la hoja de vida. Administrador de la base de datos. 8 Recuperar ultima copia de la base de datos. Tomar ultima copia de seguridad disponible de la base de datos y proceder a su restauración en la base de datos creada recientemente. Administrador de la base de datos. 9 Definir los usuarios del sistema en el nuevo servidor. Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignándoles los perfiles requeridos Administrador de la base de datos. 10 Verificar que la base de datos opera adecuadamente. Si los resultados son satisfactorios se sigue al paso 11, sino vuelve al paso 4. Administrador de la base de datos 11 Se informa al Coordinador de Infraestructura o al Director de Tecnología del restablecimiento del servicio Reporte de funcionamiento y se documenta el proceso efectuado. Administrador de la base de datos. 12 Reporte de servicio restablecido. El Coordinador de Infraestructura o el Director de Tecnología, informan que la contingencia ha sido superada. Coordinador de Infraestructura, Administrador de la Red o el Director de Tecnología 5. SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN V1 10/12/2012 Creación del documento.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 43 de 123 ESTRATEGIA TECNOLÓGICA DE RED WAN 1. OBJETIVO Recuperar un enlace de comunicación entre una sede regional y el nodo central 2. ALCANCE El procedimiento aplica para los siguientes escenarios:  Daños o fallas en algún enlace que afecte servicios dentro de los cuales esta soportado por la red WAN. 3. DEFINICIONES N/A 4. CONDICIONES GENERALES Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:  Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo) 5. DESCRIPCIÓN DIAGRAMA DE FLUJO
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 44 de 123 ACTIVIDADES ACTIVIDADES Ó TAREAS No. Act Descripción de la Actividad Observaciones Responsable Recursos requeridos y ubicación 1 Identificar la falla y realizar un diagnóstico interno Profesional Dirección de tecnología y Proveedor de servicios de la red 2 Llamar al CONTRATISTA Llamar a las líneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos Coordinador de Infraestructura o Profesional de Dirección de tecnología Contrato (Anexo 1) 3 Diagnóstico de la situación por parte del administrador de la red o del contratista Se efectúa un diagnóstico del estado del enlace de comunicaciones. Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista 4 Se puede recuperar el servicio empleando el canal de contingencia De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista 5 Proceder a restablecer el servicio Se restablece el servicio y se pasa al paso 7 Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista 6 Establecer canal de comunicación alterno Enviar equipo de trabajo, revisar el enrutador, el enlace, canal Contratista 7 Validar la configuración Establecer QoS, parámetros de configuración, enrutamiento, etc Contratista 8 Verificar que el enlace opera adecuadamente Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista 9 Se informa al Coordinador de infraestructura o al Director de tecnología, del Reporte de funcionamiento y se documenta el proceso efectuado Coordinador de Infraestructura o Profesional de Dirección de tecnología
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 45 de 123 restablecimiento del servicio 10 Reporte de servicio restablecido El Coordinador de infraestructura o el Director de tecnología, informan que la contingencia ha sido superada. Coordinador de infraestructura, Administrador de la red o el Director de tecnología 6. SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE 7. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN V1 17/02/2013 Creación del documento.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 46 de 123 ESTRATEGIA TECNOLÓGICA DE LAN - SWITCHES 1. OBJETIVO Recuperar un Switch que se encuentra en la red de ICETEX. 2. ALCANCE El procedimiento aplica para los siguientes escenarios:  Daños o fallas en alguno de los Switches.  Falla a nivel de Hardware o Software. 3. CONDICIONES GENERALES Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:  Contrato vigente de soporte y Carta de Servicio DSSP (Ver Anexo) 4. DESCRIPCIÓN DIAGRAMA DE FLUJO
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 47 de 123 ACTIVIDADES ACTIVIDADES O TAREAS No. Act Descripción de la Actividad Observaciones Responsable Recursos requeridos y ubicación 1 Identificar la falla y realizar un diagnóstico interno Administrador de la Red 2 Llamar al CONTRATISTA responsable del mantenimiento o tomar uno de los switch del stock disponible para asignar un recambio Llamar a las líneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Dirección de tecnología Continuidad_de_negoci o contactos Administrador de la Red Contrato y carta de solicitud (Anexo 1) 3 Tomar el Swicth de recambio Administrador de la Red 4 Recuperar la plantilla de configuración La suministrará el Coordinador de Infraestructura de Tecnología o el Director de tecnología, y este la ubicará en el repositorio Continuidad_de_negocio plantillas de configuración de los swicthes Coordinador de infraestructura, Administrador de la red o el Director de tecnología 5 Resetear el swicth, y aplicar la plantilla de configuración Toma la plantilla y con los comandos ::: proceder a cargarla en el Swicth de reposición Administrador de la Red 6 Verificar que el swicth opera adecuadamente Se conecta el switch y se efectúan las pruebas de enrutamiento necesarias. Administrador de la red 7 El swicth opera adecuadamente Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica Administrador de la red 8 Se informa al Coordinador de infraestructura o al Director de tecnología, del restablecimiento del servicio Reporte de funcionamiento y se documenta el proceso efectuado Administrador de la Red 9 Reporte de servicio restablecido El Coordinador de Coordinador de
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 48 de 123 infraestructura o el Director de tecnología, informan que la contingencia ha sido superada. infraestructura, Administrador de la red o el Director de tecnología 5. SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN V1 29/05/2010 Creación del documento. V2 17/08/2010 Ajustar procedimiento a formato. V3 05/12/2012 Ajustar el procedimiento de acuerdo al análisis de impacto de negocio desarrollado y la nueva estrategia de outsourcing del centro de datos.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 49 de 123 ESTRATEGIA TECNOLÓGICA DE SISTEMA OPERATIVO – SOFTWARE DE BASE DE DATOS 1. OBJETIVO Recuperar un servidor de base de aplicaciones por daño en el sistema. 2. ALCANCE El procedimiento aplica para los siguientes escenarios:  Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por un servidor web o servidor de aplicaciones.  Falla a nivel de Software Base del servidor. 3. CONDICIONES GENERALES Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:  Contrato vigente de soporte servidores 4. DESCRIPCIÓN ACTIVIDADES ACTIVIDADES Ó TAREAS No. Act Descripción de la Actividad Observaciones Responsable Recursos requeridos y ubicación 1 Identificar la falla y realizar un diagnostico interno Administrador servidores 2 Llamar al CONTRATISTA responsable del mantenimiento o Llamar a las líneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos Administrador de servidores Contrato 3 Diagnóstico de la situación por parte del administrador del servidor o del contratista Se efectúa un diagnóstico del estado del software base. Administrador del servidor 4 Se puede recuperar el servicio en la misma máquina De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio Administrador del servidor y/o contratista
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 50 de 123 5 Proceder a restablecer el servicio Se restablece el servicio en el mismo servidor y se pasa al paso 9 Administrador del servidor 6 Recuperar la hoja de vida del servidor La extraerá del repositorio de plantillas de hojas de vida de los servidores Coordinador de infraestructura, Administrador del servidor o el Director de tecnología 7 Actualizar la configuración en el servidor de contingencia Toma la hoja de vida y con los comandos de la consola de administración instala, configura los servicios con los parámetros descritos en la hoja de vida. Administrador del servidor 8 Definir los usuarios del sistema en el nuevo servidor Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignándoles los perfiles requeridos Administrador del servidor 9 Verificar que el servidor la aplicación, el servidor web o servidor de aplicaciones opera adecuadamente Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica Administrador del servidor 10 Se informa al Coordinador de infraestructura o al Director de tecnología, del restablecimiento del servicio Reporte de funcionamiento y se documenta el proceso efectuado Administrador del servidor 11 Reporte de servicio restablecido El Coordinador de infraestructura o el Director de tecnología, informan que la contingencia ha sido superada. Coordinador de infraestructura, Administrador de la red o el Director de tecnología 5. SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN V1 10/12/2012 Creación del documento.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 51 de 123 8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las siguientes estrategias manuales ante una contingencia cuyo escenario es falla de los sistemas con los que ejecutan la operación: No. Contingencia manual a procedimientos Area 1. Resoluciones de giro por fallas del sistema C&CETEX Vicepresidencia de Fondos 2. Expedición del certificado de disponibilidad presupuestal ante la imposibilidad de operar en el sistema Apoteosys Vicepresidencia Financiera 3. Registro presupuestal de compromisos ante la imposibilidad de operar en el sistema Apoteosys. Vicepresidencia Financiera 4. Registro presupuestal de obligaciones ante la imposibilidad de operar en el sistema Apoteosys Vicepresidencia Financiera 5. Análisis contable de causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys Vicepresidencia Financiera 6. Giro por falla en el sistema Apoteosys Vicepresidencia Financiera 7. Generación de correspondencia externa ante imposibilidad de operar en el sistema mercurio Secretaria General 8. Consulta de archivo Secretaria General 9. Pago de servicios públicos y administraciones ante la imposibilidad de operar en el sistema Apoteosys Secretaria General
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 52 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE RESOLUCIONES DE GIRO POR FALLAS DEL SISTEMA C&CETEX Macro proceso: Otorgamiento de Productos Proceso: Gestión de legalización y renovación para aprobación del desembolso 1. OBJETIVO Obtener un plan de contingencia para el procedimiento crítico de Resoluciones de Giro en la Vicepresidencia de Fondos por fallas del sistema C&CETEX. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el que la Vicepresidencia de Fondos en Administración determinará los Giros urgentes a emitir en el día, de acuerdo con los compromisos contraídos con los Constituyentes y sobre esta decisión informará al personal encargado para que procedan a aplicar la contingencia. 3. CONDICIONES GENERALES  Para el desarrollo de esta contingencia se requiere contar con el reporte de “Faltantes de Giro” de la Vicepresidencia de Fondos en Administración, actualizado a fecha del día anterior, para lo cual es necesario que el funcionario designado genere al final del día este reporte y lo guarde en la Carpeta Compartida de la Vicepresidencia de Fondos, debidamente protegido para que no sea posible su manipulación por ninguna persona.  Los giros propuestos a gestionar deberán haber cumplido con las siguientes condiciones para iniciar el proceso de giro: o Hallarse la documentación soporte en la Entidad, o Encontrarse en el sistema C&CETEX con los estados de: “Autorizado”, “Concepto jurídico viable” o “Renovado IES”. 4. DESCRIPCION 4.1 ACTIVACION DE LA CONTINGENCIA - GENERACION DEL GIRO Encargado del Fondo / Vicepresidencia de Fondos en Administración 4.1.1 Cumplido el Procedimiento de Legalización de Crédito Educativo, se recepciona por parte del Constituyente la autorización con la relación de los Beneficiarios autorizados para que se les desembolse, documento debidamente firmado por el funcionario autorizado en el Fondo.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 53 de 123 4.1.2 Ingresar a la dirección de “Carpeta Compartida de Fondos” y seleccionar el reporte “Faltantes de Giro”, que contiene la información de los Beneficiarios que se encuentran en las condiciones indicadas en el numeral 3. Proceder a filtrar la información con la información de los Beneficiarios a gestionar el giro de acuerdo al rubro a pagar. 4.1.3 Revisar que los datos del Beneficiario autorizado en el documento de Autorización de Beneficiarios contenga la misma información que se encuentra en el Reporte de Faltantes de Giro: nombre del beneficiario, universidad, programa, valor aprobado para el giro. 4.1.4 Si la revisión es coincidente proceder a diligenciar el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración. Esta planilla debe firmarla en constancia de elaboración. 4.1.5 En caso que se presente diferencia en la información, es necesario solicitar aclaración con el Constituyente a través de correo electrónico. 4.1.6 Entregar al Técnico Administrativo los siguientes documentos: Formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración” y documento de Autorización de Beneficiarios por parte de Constituyente. Técnico Administrativo / Vicepresidencia de Fondos en Administración 4.1.7 Elaborar por cada orden de giro, el Formato “Resolución Giro Contingencia C&CETEX” con los datos indicados en el formato 135. 4.1.8 Revisar el Formato “Resolución Giro Contingencia C&CETEX” contra el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración, verificando que los datos que componen la orden de resolución coincida la información que reposa en el reporte de faltantes. 4.1.9 Las ordenes de resolución cuya información es igual, serán firmadas por el Técnico Administrativo, en el campo de “Elaboro”. 4.1.10 Aquellas resoluciones que difiere la información debe corresponder a equivocación en la emisión de la orden de resolución, por cuanto es necesario corregir las órdenes y volver a imprimir y firmar. 4.1.11 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Encargado del Fondo. Encargado del Fondo / Vicepresidencia de Fondos en Administración 4.1.12 Revisar la ordenes de resoluciones de giro garantizando su correcta emisión, en constancia firma en el campo “Reviso” de dicho documento. 4.1.13 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Coordinador. Coordinador / Vicepresidencia de Fondos en Administración
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 54 de 123 4.1.14 Revisar el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración”, la orden de resolución de giro, el Formato “Resolución Giro Contingencia C&CETEX” y la Autorización del Fondo con la relación de los beneficiarios contra el Reporte de Faltantes de Giro, verificando la consistencia en la información. 4.1.15 De encontrarla correcta, proceder a firmar la Planilla 135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración” y la “Resolución Giro Contingencia C&CETEX”. 4.1.16 De encontrar algún tipo de inconsistencia, debe rechazar la orden de resolución y solicitar aclaración al Funcionario encargado del Fondo. 4.1.17 Entregar la documentación correspondiente a las Órdenes de Resolución de giro autorizadas al Vicepresidente de Fondos en Administración, quien realiza una última verificación de la información y firma como Ordenador del Gasto. Estos documentos son devueltos al Coordinador responsable del Fondo. 4.1.18 Actualizar los giros ordenados en el Reporte de Pendientes, diligenciando los siguientes campos:  Fecha orden de resolución: Años, mes y día (AAAA/MM/DD) de la solicitud de emisión de la orden de giro.  Elaborado: Nombre y apellido del Funcionario encargado del Fondo que está solicitando la orden de resolución de giro. Técnico Administrativo / Vicepresidencia de Fondos en Administración 4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo “Fecha de resolución” y proceder a generar un archivo independiente con las resoluciones de desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura requerida por el sistema Apoteosys, información que reposa en el Reporte de Pendientes de Fondos. 4.1.20 Entregar las Órdenes de Resolución y el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración” al Grupo de Presupuesto de la Vicepresidencia Financiera, para su cumplimiento. 4.2 CARGE DEL ARCHIVO EXCEL CON INFORMACION DE LAS RESOLUCIONES DE DESEMBOLSO AL MAESTRO DE RESOLUCIONES DE APOTEOSYS Técnico Administrativo / Vicepresidencia de Fondos en Administración 4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las instrucciones dadas por la Dirección de Tecnología. 4.3 RETORNO A LA NORMALIDAD – SISTEMA C&CETEX Dirección de Tecnología
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 55 de 123 4.3.1 Una vez restablecida la incidencia presentada en el aplicativo C&CETEX, la Dirección de Tecnología efectuará la actualización de las ordenes de resoluciones emitidas que ya han sido cargadas en el sistema Apoteosys. 4.3.2 Informar a la Oficina de Riesgos la actualización del aplicativo C&CETEX y su restablecimiento. Oficina de Riesgos 4.3.3 Avisar a la Vicepresidencia de Fondos en Administración el restablecimiento del sistema C&CETEX y el Vicepresidente informe al personal del área y puedan ingresar a dicho aplicativo.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 56 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE EXPEDICION DEL CERTIFICADO DE DISPONIBILIDAD PRESUPUESTAL ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Expedición del Certificado de Disponibilidad Presupuestal (CDP), donde se emite el documento que garantiza la existencia de apropiación presupuestal disponible, para la asunción de compromisos o traslados con cargo al presupuesto de la respectiva vigencia fiscal. 2. ALCANCE Este procedimiento se utiliza ante la activación de contingencia dada por la Oficina de Riesgos, caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera determina los Certificados de Disponibilidad Presupuestal a emitir en el día, de acuerdo con las necesidades de las diferentes áreas de la Entidad y sobre esta decisión informa al personal del Grupo de Presupuesto para que procedan a aplicar esta contingencia. 3. CONDICIONES GENERALES  Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de Ejecución Presupuestal y Base de Datos de los CDP’s (Control dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir su manipulación por ninguna persona ajena al área. 4. DESCRIPCIÓN Ordenador del gasto
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 57 de 123 4.1 Realizar solicitud de CDP (Certificado de Disponibilidad Presupuestal) dirigido al Coordinador de Presupuesto por medio de memorando, el cual es firmado directamente por el Ordenador del Gasto. Funcionario Encargado / Grupo de Presupuesto 4.2 Recibir memorando y verificar que se encuentre la siguiente información: Descripción del gasto, vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de Presupuesto. Coordinador / Grupo de Presupuesto 4.3 Revisar rubro presupuestal y saldo vigente en el Informe Base de Datos de los CDP’s (Control dual)”; para lo cual procede así: 4.3.1 Si existe rubro presupuestal y vigencia: Entregar al Funcionario Encargado para continuar el proceso. 4.3.2 Si el gasto no está contemplado para la vigencia en curso: Informar al Ordenador del Gasto de la no existencia del mismo a través de correo electrónico y en consecuencia se devuelve. 4.3.3 En caso de no existir apropiación vigente no afectada: Revisar al interior del rubro mayor la posibilidad de realizar ajuste:  De ser posible la modificación del rubro mayor: Efectuar novedad en el Reporte de Informe de Ejecución Presupuestal, guardando el equilibrio al interior del rubro mayor. Los documentos soportes son entregados al Funcionario Encargado.  En caso de no ser posible la modificación al rubro mayor y existir disponibilidad en otro rubro, seguir el procedimiento de “Modificación al Presupuesto”. Funcionario Encargado / Grupo de Presupuesto 4.4 Ingresar en el reporte “Base de Datos de los CDP’s” (Control dual)”, la información relacionada con el objeto asociado de la solicitud y el valor requerido. 4.5 Emitir CDP manualmente, con la información del objeto, valor y rubros presupuestales afectados. Coordinador / Grupo de Presupuesto 4.6 Revisar el CDP en físico y verificar que su contenido sea el mismo de la solicitud realizada.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 58 de 123 4.7 Si la información es correcta, firmar el CDP; en caso contrario, solicitar su corrección al Funcionario Encargado. Funcionario Encargado / Grupo de Presupuesto 4.8 Entregar al Ordenador del Gasto solicitante el CDP original mediante comunicación firmada por el Coordinador del Grupo de Presupuesto. Debe mantenerse una copia del CDP en el Grupo de Presupuesto de la Vicepresidencia Financiera, con el sello de recibido del área ordenante. 5. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia: 5.1 Registrar la información del CDP emitido, afectando el rubro presupuestal con el que se emitió el documento. 5.2 Modificar el rubro presupuestal en caso que se hayan realizado ajustes. 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 15/11/2012 Documento inicial
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 59 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE COMPROMISOS ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Registro Presupuestal de Compromisos, documento mediante el cual se afecta de forma definitiva la apropiación presupuestal. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina las solicitudes de suscripción de compromisos a emitir en el día, de acuerdo con las necesidades urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en orden de prioridad. 3. CONDICIONES GENERALES  Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDP’s (Control Dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir su manipulación por ninguna persona ajena al área.  No se puede generar ningún compromiso presupuestal sin contar con el respectivo CDP (Certificado de Disponibilidad Presupuestal). 4. DESCRIPCIÓN
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 60 de 123 Ordenador del Gasto 4.1 Enviar documento soporte del compromiso al Coordinador del Grupo de Presupuesto para su registro presupuestal, adjuntando los siguientes documentos: Certificado de Disponibilidad Presupuestal, documentación soporte del compromiso (contrato, convenio, ordenes, etc.) y autorización de las vigencias futuras si las hay. Coordinador de grupo / Grupo de Presupuesto 4.2 Recibir y verificar que los documentos:  Sean correctos y que los valores en ellos consignados sean los mismos.  Sean congruentes el objeto del contrato contra el CDP.  Contenga la imputación presupuestal y la vigencia.  Se encuentre firmado por los funcionarios autorizados. De encontrar correcta la información entrega al Funcionario Encargado; sí contiene inconsistencias devuelve al Ordenador del Gasto. Funcionario Encargado / Grupo de Presupuesto 4.3 Verificar en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDP’s (Control Dual), si existe saldo a comprometer del CDP en el respectivo rubro, donde se ubica el compromiso suscrito, procediendo así: 4.3.1 Si existe saldo a comprometer en el CDP:  Calcular el valor a descontar del saldo.  Registrar la información del compromiso en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos).  Sellar el registro presupuestal del compromiso, el sello contiene los siguientes datos: o CDP: Corresponde al número de CDP (Certificado de disponibilidad presupuestal), que respalda el compromiso. o RP: El número de Registro Presupuestal se coloca de forma manual y lo conforma la fecha (AAAAMMDD) y un consecutivo diario. o Rubro: Indica el nombre del rubro presupuestal afectado por el gasto. o Código: Indica el código del rubro presupuestal afectado por el gasto. o Fecha: Indica la fecha en la cual se hizo el registro presupuestal del compromiso. o Registrada por: Corresponde a la firma del Coordinador del Grupo de Presupuesto. Así mismo, estampar el sello de “Presupuesto registrado” en cada folio del compromiso registrado.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 61 de 123  Emitir comunicación al Grupo de Contratación sobre la emisión de registro presupuestal de compromisos y anexar los documentos soporte al registro presupuestal y entregar al Coordinador de Presupuesto. 4.3.2 Si no existe saldo por comprometer en el CDP, elaborar memorando rechazando el procedimiento, el cual se entrega al Coordinador del Grupo de Presupuesto. Coordinador de Grupo / Grupo de Presupuesto 4.4 Las suscripciones de compromisos donde existe suficiente saldo del CDP, revisar el registro presupuestal, firmar y remitir comunicación al Grupo de Contratación; de encontrar alguna inconsistencia, solicitar corrección al Funcionario Encargado. 4.5 En caso de no existir el saldo en el CDP, revisar y firmar la comunicación de devolución al Ordenador del Gasto. Funcionario Encargado / Grupo de Contratación 4.6 Recibir y continuar con el procedimiento “Legalización de contrato u orden de compra o servicio” (A4-2- 01). 5. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia: 5.1 Registrar la información del compromiso. 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 15/11/2012 Documento inicial
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 62 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE OBLIGACIONES ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema apoteosys para desarrollar el procedimiento de registro presupuestal de obligaciones, documento donde se autoriza el pago del compromiso adquirido, garantizando que este solo se comprometerá para este fin. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina las órdenes de pago a atender en el día, de acuerdo con las necesidades urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en orden de prioridad. 3. CONDICIONES GENERALES  Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos), debidamente actualizado y armonizado a la fecha, la cual reposa en la Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes Consulta”, documento a conservar debidamente protegido para que no permitir su manipulación por ninguna persona ajena al área.  Este procedimiento se rige por el Acuerdo 001 del 16 de junio del 2006, por el cual se aprueba el Estatuto de Presupuesto del ICETEX, en especial lo relacionado en el capítulo V, artículo 37. 4. DESCRIPCIÓN Ordenador del Gasto
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 63 de 123 Si la obligación corresponde a fondos, seguir el procedimiento “Registro Presupuestal de Obligaciones de Fondos” (A2-1-09). Si la obligación no corresponde a fondos, seguir el procedimiento “Legalización de contrato u orden de compra o servicio.” (A4-2-01). Ordenador del Gasto - Ejecutor del Presupuesto 4.1 Realizar y revisar la Orden de Pago F50 manual. De acuerdo con la naturaleza del compromiso realiza la orden de pago acompañada de los soportes necesarios (factura, resumen de nómina, caja menor, fondos, resoluciones de giro, crédito TAE, Access, Fiduciaria, giros). Funcionario Encargado / Grupo de Presupuesto 4.2 Recibir la Orden de Pago F-50 manual y los respectivos soportes. 4.3 Revisar la Orden de Pago F-50 manual y los respectivos soportes, de conformidad con el contrato y/o normas establecidas y que los valores en ellos consignados sean los correctos, procediendo así: 4.3.1 Si no tiene los respectivos soportes completos, devolver la Orden de Pago F-50 manual sin tramitar, dándose como no recibida al Ordenador del Gasto o Ejecutor del Presupuesto. 4.3.2 De presentarse los documentos soportes completos y correctos, revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos): 4.3.2.1 Existencia de compromiso por cumplir, es decir que haya la disponibilidad de recursos para efectuar ese pago de acuerdo con el compromiso adquirido. 4.3.2.2 Disponibilidad del saldo. 4.4 Si en la revisión determina que carece de compromiso por cumplir, proceder a emitir comunicación al Ordenador del Gasto, devolviendo la orden e indicando el motivo. 4.5 Las órdenes de recursos propios se registran en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos), donde se actualiza automáticamente el saldo con la obligación que se está tramitando. 4.6 Colocar sello de registro de obligación a la orden de pago, conteniendo la fecha de registro de obligación, e indica que los documentos ya fueron tramitados por el Grupo de Presupuesto. Coordinador de Grupo / Grupo de Presupuesto
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 64 de 123 4.7 Aquellas órdenes a devolver, verificar el motivo de la devolución junto con los documentos soportes, si es correcto, firmar comunicación al Ordenador del Gasto. En caso de encontrar inconsistencias en la devolución, informar al Funcionario Encargado para su corrección. 4.8 Las ordenes que cumplen con las condiciones de existencia de compromiso por cumplir, revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos) su correcto registro; de estar en orden firmar la orden de pago F-50 manual en el campo denominado “Presupuesto”. Analista 3 / Dirección de Contabilidad 4.9 SI se requiere causar sigue el procedimiento “Análisis contable de causaciones y cuentas por pagar” (A2-3-10). Profesional Universitario 1 Analista 3/ Dirección de Tesorería Seguir procedimiento “Giro” (A2-2-04). Analista 3 / Dirección de Contabilidad Si hubo causación ingresa al aplicativo de Apoteosys y cancela las cuentas por pagar. 5. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en este sistema con las actividades que se realizaron en contingencia: 5.1 Ingresar los registros de las obligaciones realizadas. 5.2 Verificar que la Dirección de Contabilidad y la Dirección de Tesorería se haya causado la obligación y realizado el pago respectivamente, de tal manera que si se realizó el giro, haya descontado del saldo de la obligación el valor correspondiente y en caso de rechazo mantenga su saldo. 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 15/11/2012 Documento inicial
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 65 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE ANALISIS CONTABLE DE CAUSACIONES Y CUENTAS POR PAGAR ANTE IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Contable y Tributaria 1. OBJETIVO Obtener un plan de contingencia para el procedimiento crítico de Análisis contable de causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys, garantizando el correcto registro contable y la razonabilidad de los movimientos generados a partir de las cuentas por pagar con sus respectivos impuestos, teniendo en cuenta la normativa contable vigente. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el cual se procederá así:  El Director de Tecnología definirá las medidas para apoyar la contingencia, así como aquellas actividades necesarias para solucionar la situación generada en el aplicativo Apoteosys.  El Director de Contabilidad de la Vicepresidencia Financiera determinará los registros contables a efectuar en el día, de acuerdo con las necesidades de las diferentes áreas de la Entidad y sobre esta decisión informará al personal encargado para que procedan a aplicar esta contingencia. 3. CONDICIONES GENERALES  Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta y tercero, el cual puede ser generado a partir del último backup del sistema o por la herramienta Biable. Para ello, se contará con el apoyo de la Dirección de Tecnología, donde ejecutarán el Procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex.  La documentación soporte de la cuenta por pagar definida en los entregables establecidos en el contrato u orden de servicio, debe estar completa y pre-validada por el Interventor que le corresponda.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 66 de 123  La información del proveedor o contratista debe haber sido previamente verificada en SARLAFT, dentro del proceso precontractual.  Los soportes de la cuenta de cobro o facturas deben ser entregados el mismo día en que se genera la cuenta de cobro, previa revisión del Interventor que corresponda. 4. DESCRIPCIÓN Coordinador de Tecnología / Dirección de Tecnología Aplicar el procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex. Técnico Administrativo / Dirección de Contabilidad Recibir documentos del Grupo de Presupuesto y analizar los soportes recibidos validando la existencia del contrato y que los soportes incluyan los valores relacionados en las cláusulas del contrato u órdenes de compra o servicios que corresponda. Si los documentos no están completos o hay extemporalidad en la entrega, solicitar la reversión de transacción de registro presupuestal al Grupo de Presupuesto a través de correo electrónico. Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta contable y tercero, situación que se puede obtener a partir de la extracción directa de la base de datos del backup de la información con apoyo de la Dirección de Tecnología o como segunda forma de generarlo a través del Reporteador BIABLE. Validar el origen de la cuenta: Si el origen de la cuenta por pagar es un Fondo Establecer la razonabilidad contable del movimiento, analizando a partir del estado de cuenta de los Fondos en Administración, si el movimiento corresponde al registrado por el área de Fondos, datos que puede observar en el Informe de Saldos y movimiento contables. Efectuar liquidación de impuestos de conformidad con la norma contable y la reglamentación que para tal efecto se encuentra establecida en el plan de cuentas financiero y el estatuto tributario y registrar la resolución de giro que ampara la cuenta por pagar dentro del Informe de Saldos y movimiento contables. Otras cuenta por pagar: Consultar manualmente el “Auxiliar contable por tercero” dentro del Informe de Saldos y movimiento contables.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 67 de 123 Establecer el valor y oportunidad de liquidación de impuestos, haciendo verificación del clausulado contractual y el pago de parafiscales. Verificar el registro del proveedor con sus obligaciones tributarias diligenciadas dentro de la factura de proveedor, de acuerdo con el régimen tributario al cual pertenece, estableciendo la razonabilidad contable del movimiento, analizando si el movimiento corresponde a una provisión, gasto, anticipo o es un pago de impuestos. Realizar la liquidación del pago de impuestos manualmente de conformidad con el análisis realizado y registrar el movimiento de cuentas dentro del Informe de Saldos y movimiento contables. Estampar el sello de “Contabilizado” en la Orden de Resolución u Orden de Pago, firmar y colocar la fecha de procesado en la Dirección de Contabilidad. Analizar el impacto del movimiento contable en los estados financieros y en los estados de cuentas de los fondos en administración. Entregar la Orden de Resolución u Orden de Pago y los documentos soportes a la Dirección de Tesorería para que realice el giro. Una vez realizado el desembolso de acuerdo con el procedimiento de “Giro” en la Dirección de Tesorería, consolidar la información en el Informe de Saldos y movimiento contables. 5. RETORNO A LA NORMALIDAD Técnico Administrativo / Dirección de Contabilidad 5.1 Una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, obtener los nuevos saldos de las cuentas contables en el Informe de Saldos de movimientos contables. 5.2 Extraer los movimientos contables que se realizaron durante la contingencia, generando un archivo plano y subirlo en el aplicativo Apoteosys por la opción de Interfaces. 5.4 Comparar los saldos contables generados en el sistema Apoteosys con los producidos en el Saldos de movimientos contables, debiendo existir consistencia en la información. En caso de existir diferencia es necesario establecer la diferencia y corregir. 6. 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 22/10/2012 Documento inicial CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE GIRO ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 68 de 123 Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Giro, documento que integra las actividades a realizar para la emisión de los diferentes pagos para cumplir con las obligaciones del Icetex. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, situación donde el Director de Tesorería de la Vicepresidencia Financiera determina las Resoluciones de Giro y Orden de Pago a emitir en el día, de acuerdo con las necesidades urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Pagaduría para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en orden de prioridad. 3. CONDICIONES GENERALES 3.1 Para el desarrollo del giro a través de Transferencia Electrónica o Tarjeta Recargable, es necesario contar con el formato del archivo plano de Archivo de Transferencias de los Portales Bancarios donde el Icetex tiene Cuentas Corrientes / Ahorros. 4. DESCRIPCIÓN Coordinador Grupo de Presupuesto / Vicepresidencia Financiera  Sigue el procedimiento de Registro Presupuestal de Obligaciones.  Cuando es una resolución de giro de crédito pasa directamente a la actividad 4.1. Director de Contabilidad / Vicepresidencia Financiera
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 69 de 123 Si es un giro de gastos al fondo o de funcionamiento sigue el procedimiento de Análisis contable de causaciones y cuentas por pagar. Técnico Administrativo / Grupo de Pagaduría / Dirección de Tesorería 4.1 Registrar hora y fecha de recepción de documentos de giro según corresponda: En la hoja de ruta si se trata de Resolución de Giro. En la “Relación de Órdenes de Pago” si se trata de órdenes de pago, donde adicionalmente se revisa que estén como anexos los soportes requeridos, tales como: Cuentas de cobro, informe de actividades, facturas, planillas, actas de recibo de satisfacción, certificaciones bancarias, etc. Para cada uno de los casos relacionar en el archivo de Excel “Control de Ingreso”, los campos: Fecha y hora de recepción, número de resolución Orden de Pago, Preparador asignado, oficina ordenadora del pago, moneda en que se pagará y programa que afecta el pago. Si se presenta alguna inconsistencia en la revisión y registro, se hace devolución a la Oficina Ordenadora del Gasto para los respectivos ajustes copiando al Grupo de Presupuesto y Dirección de Contabilidad y registrando la novedad en el archivo de “Control de Ingreso”. 4.2 Entregar los documentos al Preparador de Pagos asignado, según la tipología del pago, el recurso a pagar y el tipo de moneda del pago. Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería 4.3 Recibir las Ordenes de Pago y/ Resoluciones de Giro. 4.4 Verificar que los documentos estén firmados y los que se requieran estén causados y contengan los soportes necesarios para realizar el pago. Así mismo, verifica que los valores de las órdenes de pago y/o resoluciones de giro concuerden con los valores de los soportes anexados:  Si la información requerida para los giros está incorrecta o incompleta, debe devolverse a la Oficina Ordenadora del Gasto para los ajustes respectivos copiando al Grupo de Presupuesto y Dirección de Contabilidad.  Si la información es correcta, efectuar actividad 4.5. 4.5 Verificar los terceros a girar en el reporte en Excel “Atención de Embargos”, donde se encuentra la relación de embargos requeridos por los Entes Judiciales:  Presenta embargos: Proceder de acuerdo a la Guía de Embargos publicada y su correspondiente formato.  No presenta embargos, continua con la actividad 4.6.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 70 de 123 4.6 Clasificar el recurso a pagar: Propios, TAE, Fondos y verificar que la cuenta a debitar posea los recursos disponibles. 4.7 Aplicar la guía correspondiente, de acuerdo con la tipología del pago:  Cheques de Gerencia: Proceder de igual manera con lo descrito en la Guía G59.  Transferencia Electrónica: Proceder de acuerdo con lo descrito en el numeral 5 de este documento.  G61 Guía con Nota Débito  G63 Guía Tarjetas Recargables 5. GUIA DE PAGO DE TRANSFERENCIA ELECTRONICA Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería 5.1 Llenar de forma manual el archivo plano de pagos denominado “Archivo de Transferencias”, según la estructura técnica de cada Banco, que se encuentra definido en el Grupo de Pagaduría. 5.2 Ingresar al Portal Bancario, identificándose con su usuario y dispositivo de seguridad asignado y cargar el archivo plano “Archivo de Transferencias”. 5.3 Imprimir directamente del Portal Bancario el proceso de pagos definitivo, impresión que debe contener la siguiente información:  Cuenta a debitar Icetex  Nombre del destinatario de cada giro  Identificación del destinatario de cada giro  Banco destino  Número de cuenta destino  Tipo de cuenta  Valor a transferir Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería 5.4 Verificar y asignar el punteo del proceso de pagos definitivo a un funcionario diferente al que Preparador de Pagos que lo elaboró, el cual verifica el Archivo de Transferencias cargado en el Portal Bancario contra los soportes físicos de cada pago. Funcionario asignado de punteo / Grupo de Pagaduría / Dirección de Tesorería
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 71 de 123 5.5 Revisar los datos impresos del Portal Bancario frente a los soportes físicos de cada giro (Resolución de giro, Orden de Pago u otro documento soporte de la ordenación del giro), validando que coincida:  El número de identificación del beneficiario  Número y tipo de cuenta bancaria destino  Entidad bancaria destino  Valor del giro 5.6 Si se encuentra todo correcto, procede a firmar en señal de revisado, indicando fecha y número de registros verificados y novedades encontradas. Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería 5.7 Asignar número de proceso mediante numerador y registrar en la Planilla de Control “Planilla Pagos.xls", la siguiente información: Consecutivo, tema, fecha pago, Fecha reproceso, No. de registros, Valor, Usuario preparador, Recurso, Novedades, Banco a debitar, Respuesta y Funcionario que puntea. 5.8 Ingresar al Portal Bancario a verificar que la cuenta seleccionada para el débito de los recursos esté correcta, la información generada se encuentre acorde con los soportes ya verificados y punteados y realiza la aprobación del giro. Director de Tesorería / Dirección de Tesorería 5.9 Ingresar al Portal Bancario correspondiente al pago preparado y verificar que los soportes recibidos tengan las firmas de quien realizó la preparación en el portal, la verificación de los registros y la firma del primer aprobador, valida el valor del lote en el portal contra el físico, cantidad de registros y nombre del lote. De encontrar todo en orden, procede con la autorización final del proceso. Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería 5.10 Confirmar en el Portal Bancario que las aprobaciones hayan sido efectivas y el proceso no se encuentra rechazado o declinado. 5.11 Generar y remitir vía correo electrónico al funcionario encargado de digitación, archivo de Excel denominado “Formulación”, con los datos necesarios de los Giros realizados por la Entidad para desarrollar el Proceso de Digitación, para publicar en la Página Web del Icetex. 5.12. Continuar Procedimiento “Boletín de Tesorería”. 5.13 Tres días hábiles después de realizada la aprobación de la transferencia, procede a ingresar al Portal Bancario por donde se realizó el pago y genera el archivo de respuestas que confirma las operaciones aprobadas y las rechazadas con su respectiva causal de no pago.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 72 de 123 6. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia, como son: Procedimiento de Giro Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería 6.1 Rechazar en el sistema las Órdenes de Pago y/o Resoluciones de Giros que se encuentran incorrectas o incompletas y fueron devueltas al Ordenador del Gasto. 6.2 Si el pago a realizar corresponde a una Resolución ACCES, ingresa al aplicativo financiero y confirma/ rechaza / aplaza las resoluciones de giro mediante la opción CONT152P6 – Confirmar Resoluciones con detalles por categoría en Tesorería. 6.3 Si se trata de una Resolución diferente a ACCES, ingresar al aplicativo financiero y confirma/ rechaza / aplaza las Resoluciones mediante la opción CONT152P2 – Confirmación Resoluciones en Tesorería. 6.4 Si se trata de una Orden de Pago, ingresar al aplicativo financiero y autorizar mediante la opción TES015P2 –Autorización Financiera de Pagos, luego mediante la opción TES017P1 – Egresos, se confirma el proceso de pago y genera el Comprobante de Egreso. 6.5 De ser necesario realizar anulación de alguna Orden de Pago se ingresa a la opción TES024P3 – Anular documentos de pago. Guía de Transferencias Electrónicas Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 73 de 123 6.6 Confirmar las Resoluciones por la opción “Confirmación de Desembolsos de Resoluciones” y las deja en estado de giro confirmado. 6.7 Cargar Archivo de Respuestas en Apoteosys, aplicando los abonos confirmados y los rechazos, debe validar el soporte bancario antes de efectuar la aplicación en Apoteosys con la causal respectiva. 7. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 26/11/2012 Documento inicial
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 74 de 123 CONTINGENCIA DEL PROCEDIMENTO DE CORRESPONDENCIA EXTERNA – SECRETARIA GENERAL Macroproceso: Gestión Documental Proceso: Gestión de Correspondencia 1. OBJETIVO Describir la contingencia del procedimiento de Correspondencia Externa, considerando los escenarios de causas de interrupción, los contactos de personal y los recursos mínimos necesarios. 2. ALCANCE El documento cubre la contingencia de correspondencia externa, así:  Correspondencia recibida: Va desde su recepción en el punto de Correspondencia del Icetex en Bogotá o en los Centros de Atención Nacional (CAN) hasta su entrega al área destino para su atención.  Correspondencia enviada: Su alcance inicia con la emisión del oficio en las áreas del Icetex y culmina en la entrega del mismo al Operador de Servicio Postal. 3. EVENTOS DE CONTINGENCIA A continuación se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupción de la operación: 3.1 CONTINGENCIA POR AUSENCIA DE PERSONAL Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación: 3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo de Correspondencia de Secretaria General (Ver Planilla de Contactos Grupo de Correspondencia – Secretaria General).
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 75 de 123 3.1.2 El Coordinador del Grupo de Correspondencia activa la contingencia por “Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de información. 3.1.3 El Coordinador del Grupo de Correspondencia verifica la continuidad exitosa de los procesos. 3.2 CONTINGENCIA DE LUGAR 3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario de nivel 3 – Coordinador del Grupo de Correspondencia del incidente ocurrido y las instrucciones de activación de la contingencia de lugar. 3.2.2 El Coordinador del Grupo de Correspondencia contacta al personal crítico (equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. 3.2.3 El Coordinador del Grupo de Correspondencia informa al Jefe de Riesgos o su suplente que ocupará los puestos de trabajo en el lugar alterno de trabajo. 3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Correspondencia solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los programas requeridos. 3.2.5 El Coordinador del Grupo de Correspondencia confirma al Jefe de Riesgos la correcta continuidad de los procesos. 3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo. 3.2.7 El Coordinador del Grupo de Correspondencia devuelve el “kit de contingencia” para su custodia nuevamente. 3.2.8 El Coordinador del Grupo de Correspondencia comunica al personal crítico el “Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 76 de 123 3.3 CONTINGENCIA POR FALLAS TECNOLOGICAS La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya interrupción prolongada de telecomunicaciones. 3.3.1 Contingencia por fallas de software, hardware o telecomunicaciones El procedimiento de Correspondencia Externa utiliza los siguientes aplicativos para el desarrollo de las actividades: Mercurio y Correo Electrónico. Ante fallas tecnológicas se procede de la siguiente manera: 3.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Correspondencia. 3.3.1.2 El Coordinador del Grupo de Correspondencia informa la situación presentada al Coordinador de Infraestructura de la Dirección de Tecnología. 3.3.1.3 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología. 3.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología (servidores backup, sistemas de recuperación de información, enlaces de comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la Oficina de Riesgos, relacionada a continuación: 3.3.2 Contingencia manual para el procedimiento de Correspondencia Externa ante fallas tecnológicas La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas que se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que estos dos (2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al considerar el correo electrónico como contingencia de comunicación del sistema mercurio. A continuación se describen los procedimientos a seguir en contingencia manual: CONDICIONES GENERALES La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s) mercurio y/o correo electrónico supera el tiempo objetivo de recuperación (RTO) del procedimiento de Correspondencia Externa. El Coordinador del Grupo de Correspondencia de Secretaria General procede a informar a los usuarios de todas las áreas y Centros de
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 77 de 123 Atención Nacional (CAN), el incidente e indica las instrucciones para operar con el procedimiento de contingencia y mecanismo de comunicación a utilizar. En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las contingencias estimadas: Contingencia Correspondencia externa recibida Correspondencia externa enviada Bogotá CAN Bogotá CAN Falla del sistema mercurio Centralizada y recibida por el Grupo de Correspondencia Enviar escaneado el oficio recibido y remitirlo al correo electrónico gdocumental2@icetex.gov.co y lmorales@icetex.gov.co Entregar oficio al Grupo de Correspondencia para envío a su destino Informar por correo electrónico los datos básicos del oficio para otorgar No. radicación Falla del sistema mercurio y correo electrónico Suministrar por teléfono datos del oficio para otorgar No. Radicación Suministrar por teléfono datos del oficio para otorgar No. radicación Tabla No. 1 – Contingencia del Procedimiento de Correspondencia Externa Nota: Las comunicaciones que se gestionen dentro de los Centros de Atención Nacional (CAN) también deben remitir los datos de la misma. De esta manera se asegura la adecuada gestión de la correspondencia externa, como lo exige el Acuerdo 060 del 2001 del Archivo General de la Nación. DESCRIPCION DEL PROCESO 3.3.2.1 CORRESPONDENCIA EXTERNA RECIBIDA Beneficiarios, proveedores, entidades y operadores de servicios postales 3.3.2.1.1Entregar documentación al punto de Correspondencia del Icetex en Bogotá o en los Centros de Atención Nacional (CAN).
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 78 de 123 Técnico Administrativo de Secretaría General – Grupo de Correspondencia / Outsourcing de Atención al Cliente en Centro de Atención Nacional (CAN) 3.3.2.1.2Recibir y verificar que el oficio contenga los documentos soportes (cuando aplique) y los datos básicos que se requieren para radicación. 3.3.2.1.3Estampar sello de recepción del Icetex, colocar fecha, hora y firma de quien recibe el oficio. 3.3.2.1.4Escanear el (los) oficio(s) y documentos soportes (cuando aplique), si la falla es del sistema mercurio. 3.3.2.1.5Si el oficio es recibido en un Centro de Atención Nacional (CAN), el Outsourcing de Atención al Cliente informa del recibo del oficio al Grupo de Correspondencia – Secretaria General a través de correo electrónico, adjuntando la imagen escaneada. En caso de fallas en los dos sistemas se informa por teléfono la recepción del respectivo oficio con los datos básicos al Grupo de Correspondencia. Funcionario Responsable de Secretaria General – Grupo de Correspondencia 3.3.2.1.6Con el fin de determinar el número de radicación a iniciar en contingencia, el funcionario responsable del Grupo de Correspondencia – Secretaria General establece el último número de radicación que otorgó el sistema mercurio emitido por esa área y a éste le suma 30 números consecutivos, en consideración a que pudieron generarse nuevas radicaciones en otras áreas o Centros de Atención Nacional (CAN) posteriores a la asignada por el Grupo de Correspondencia, previo a la falla del sistema. 3.3.2.1.7Recibir oficio y diligenciar Ficha de Radicación en el documento en Excel denominado “Radicador Correspondencia Externa”, el cual contiene los datos básicos de la correspondencia. 3.3.2.1.8Guardar las imágenes de los oficios que se obtuvieron en el computador a su cargo, donde se mantendrán todas las comunicaciones dentro de la contingencia, otorgando como nombre el número de radicación. 3.3.2.1.9Leer y analizar la comunicación con el fin de identificar la ruta de destino del Oficio y distribuir así:  Oficio a tramitar en los Centros de Atención Nacional: Informar el número de radicación a través de correo electrónico y/o teléfono.  Oficio a tramitar en Bogotá: Distribuir el oficio de manera física al Técnico Administrativo del Área responsable de acuerdo con la guía de Distribución de Correspondencia y
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 79 de 123 Preparación y Envío de Tulas (se usa cuando el documento se traslada entre ciudades). Como evidencia de la entrega diligenciar y firma el formato de Excel denominado “Correspondencia entregada”. Área Destino 3.3.2.1.10Recibir oficio, estampar sello como acuse de recibo y tramitar la solicitud respectiva. 3.3.2.1.11Continuar con el procedimiento Administración Archivos de Gestión. 3.3.2.2 CORRESPONDENCIA EXTERNA ENVIADA Funcionario responsable en cada área / Centros de Atención Nacional /Outsourcing de Atención al Cliente 3.3.2.2.1De encontrarse en contingencia el sistema mercurio, escanear oficio(s) a enviar como correspondencia externa, el cual debe haber cumplido con el proceso de revisión, aprobación y firma del Jefe o funcionario encargado y proceder a informar al funcionario responsable del Grupo de Correspondencia – Secretaria General, indicando el envío del (los) oficio(s) para radicación y adjuntando el (los) soporte(s) (cuando aplique), como lo indica la Tabla No. 1 “Contingencia del Procedimiento de Correspondencia Externa” Funcionario responsable de Secretaria General – Grupo de Correspondencia 3.3.2.2.2Sobre los oficios que se obtengan en original o escaneados se verifica que los documentos contengan los documentos indicados en el oficio y que se hallen los datos básicos a requerir para radicación. 3.3.2.2.3Diligenciar Ficha de Radicación en el documento de Excel “Radicador Correspondencia Externa”, el cual contiene los datos básicos del oficio. 3.3.2.2.4Guardar imagen de los oficios obtenidos en el computador, asignando como nombre el número de radicación. 3.3.2.2.5Generar documentos y/o planillas para el Operador de Servicio Postal. 3.3.2.2.6Realizar guía de Alistamiento de Correspondencia y entrega al Operador de Servicios
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 80 de 123 3.3.2.3 CORRESPONDENCIA ENVIADA MASIVA Funcionario emisor 3.3.2.3.1Elaborar texto en Word, el cual es el mismo para todos los destinatarios de la correspondencia masiva. 3.3.2.3.2Generar archivo en Excel con la información y estructura definida para envío masivo. 3.3.2.3.3Solicitar al Grupo de Correspondencia – Secretaria General la entrega de comunicaciones masivas, adjuntando los archivos del texto modelo en Word y el listado de remitentes en Excel. Funcionario Responsable de Secretaria General – Grupo de Correspondencia 3.3.2.3.4Proceder de igual manera a los descritos en los numerales 3.3.2.2.3 al 3.3.2.2.6 de Correspondencia Externa Enviada. Recibir y verificar que los documentos contengan los documentos indicados en la comunicación y que se hallen los datos básicos que se requieren para radicación. El Operador de Servicios Postales realiza la actividad de impresión de correspondencia masiva. Es de aclarar, que el área solicitante debe enviar la firma autorizada digitalizada. 3.3.3.3 RETORNO A LA NORMALIDAD Funcionario Responsable de Secretaria General – Grupo de Correspondencia 3.3.3.3.1Una vez la Oficina de Riesgos informa la solución del sistema mercurio, el funcionario responsable del Grupo de Correspondencia procede a identificar el último número de radicación asignado en contingencia. Coordinador de Grupo de Correspondencia- Secretaria General 3.3.3.3.2Informar a los usuarios de las áreas y Centros de Atención Nacional para que reanuden la operativa en este sistema, indicándoles el número de radicación a iniciar en el sistema mercurio, que será el próximo al asignado en contingencia. Funcionario Responsable de Secretaria General – Grupo de Correspondencia
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 81 de 123 3.3.3.3.3Adjuntar en el sistema mercurio, el archivo de Excel “Radicador de Correspondencia externa”, el cual contiene las comunicaciones externas enviadas y recibidas durante la interrupción. 3.3.3.3.4Verificar que exista coincidencia entre el número de radicación otorgado en contingencia y el asignado en el sistema mercurio. 3.3.3.3.5Dado que la numeración de radicación en contingencia se inició desde un número que se desconocía si era certero, verificar si hubo números que no fueron utilizados en el sistema; de ser así, emitir Acta de No Utilización de Números de Radicación, explicando que obedeció a un proceso de contingencia por interrupción del sistema mercurio. 3.3.3.3.6Firmar Acta como funcionario responsable y entregar al Coordinador del Grupo de Correspondencia – Secretaria General. Coordinador de Grupo de Correspondencia – Secretaría General 3.3.3.3.7Revisar numeración de radicación no utilizada en el sistema mercurio y verificar que esta misma se encuentre relacionada en el Acta de No Utilización de Números de Radicación; si esta todo en orden, firmar el documento en señal de aceptación. 4.HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 12/03/2013 Documento inicial
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 82 de 123 CONTINGENCIA DEL PROCEDIMENTO DE CONSULTA DE ARCHIVO – SECRETARIA GENERAL Macroproceso: Gestión Documental Proceso: Gestión de Archivo 1. OBJETIVO Describir la contingencia del procedimiento de Consulta de Archivo, considerando los escenarios de causas de interrupción, los contactos de personal y proveedores. 2. EVENTOS DE CONTINGENCIA A continuación se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupción de la operación: 2.1 CONTINGENCIA POR AUSENCIA DE PERSONAL Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación: 2.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo de Archivo de Secretaria General (Ver Planilla de Contactos Grupo de Archivo – Secretaria General). 2.1.2 El Coordinador del Grupo de Archivo activa la contingencia por “Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de información. 2.1.3 El Coordinador del Grupo de Archivo confirma al Jefe del Area la continuidad exitosa de los procesos. 2.2 CONTINGENCIA DE LUGAR
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 83 de 123 2.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario de nivel 3 – Coordinador del Grupo de Archivo del incidente ocurrido y las instrucciones de activación de la contingencia de lugar. 2.2.2 El Coordinador del Grupo de Archivo contacta al equipo de recuperación e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. 2.2.3 El Coordinador del Grupo de Archivo informa al Jefe de Riesgos o su suplente que ocupará los puestos de trabajo en el Lugar alterno de trabajo. 2.2.4 En el Lugar alterno de trabajo, el Coordinador del Grupo de Archivo solicita el kit de contingencia (recursos de escritorio) y al personal clave que inicie la conectividad a los programas requeridos. 2.2.5 El Coordinador del Grupo de Archivo confirma al Jefe de Riesgos la correcta continuidad de los procesos. 2.2.6 El Jefe de Riesgos confirma la disponibilidad y funcionabilidad del sitio normal de trabajo. 2.2.7 El Coordinador del Grupo de Archivo devuelve el “kit de contingencia” para su custodia nuevamente. 2.2.8 El Coordinador del Grupo de Archivo comunica al personal el “Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”. 2.3 CONTINGENCIA POR FALLAS TECNOLOGICAS La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya interrupción prolongada de telecomunicaciones. 2.3.1Contingencia por fallas de software, hardware o telecomunicaciones El procedimiento de Consulta de Archivo para el desarrollo de las actividades utiliza los aplicativos de mercurio y correo electrónico. Ante fallas tecnológicas se procede de la siguiente manera: 2.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Archivo. 2.3.1.2 El Coordinador del Grupo de Archivo informa la situación presentada al Coordinador de Infraestructura de la Dirección de Tecnología.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 84 de 123 2.3.1.3 El Coordinador de Infraestructura da respuesta sobre la gravedad del evento y tiempo de recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología. 2.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología (servidores backup, sistemas de recuperación de información, enlaces de comunicación), de ser necesario se da inicio a la contingencia manual relacionada a continuación: 2.3.2Contingencia manual para el procedimiento de Consulta de Archivo ante fallas tecnológicas CONDICIONES GENERALES La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas que se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que estos dos (2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al considerar el correo electrónico contingencia de comunicación del sistema mercurio. En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las contingencias estimadas: Falla en aplicativo de Contingencia estimada Solicitar a: Respuesta por: Mercurio Correo electrónico Correo electrónico archivo@icetex.gov.co Correo electrónico del solicitante Mercurio y correo electrónico Teléfono Outsourcing de Archivo Bogotá: Presencial Territoriales: Correspondencia Tabla No. 1 – Contingencia de Procedimiento de Consulta de Archivo La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s) supera el Tiempo Objetivo de Recuperación (RTO) del procedimiento de Consulta de Archivo. El Coordinador del Grupo de Archivo de Secretaria General informa a todas las áreas y Centros de Atención Nacional (CAN) el incidente e indica las instrucciones para operar con el procedimiento de contingencia y mecanismo de comunicación a utilizar de acuerdo con la anterior tabla. A continuación se describen los procedimientos a seguir en contingencia manual: 2.3.2.1 CONSULTA DE IMÁGENES
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 85 de 123 Funcionario autorizado del área 2.3.2.1.1 Ante la necesidad de una copia de una imagen, el funcionario del área solicitante utiliza el medio de comunicación indicado por el Coordinador del Grupo de Archivo – Secretaria General, las cuales son:  Fallas en el sistema mercurio: Realice solicitud por correo electrónico al correo archivo@icetex.gov.co  Fallas en los sistemas mercurio y correo electrónico: Realice solicitud por teléfono al Outsourcing de Archivo. Los documentos que actualmente se encuentran digitalizados son títulos valores y carpetas de beneficiarios, en caso de requerirse un documento diferente a esta tipología, es necesario validarse previamente con el Coordinador del Grupo de Archivo. 2.3.2.1.2 La solicitud debe contemplar los siguientes datos:  Tipo de documento a requerir  Nombre y apellido del titular del documento  No. de identificación del titular del documento Outsourcing de Archivo 2.3.2.1.3 Recibir solicitud de copia de imágenes de documento (correo electrónico o vía telefónica). 2.3.2.1.4 Registrar información en el formato “Solicitud de Imágenes en Contingencia”. 2.3.2.1.5 Buscar documento en la base de datos de consulta de archivo. 2.3.2.1.6 Enviar copia de la imagen al funcionario solicitante a través de:  Solicitud efectuada por correo electrónico: Enviar al correo electrónico del solicitante.  Solicitud realizada por Teléfono: Informar por teléfono al funcionario solicitante acercarse a la Oficina del Outsourcing de Archivo a recoger copia de la imagen; en caso que el requerimiento sea de un Centro de Atención Nacional, se remite por correo interno la copia de la imagen. Funcionario autorizado del área 2.3.2.1.7 Recibir y visualizar copia de los documentos y resolver la consulta.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 86 de 123 2.3.2.2 PRESTAMO DE UN DOCUMENTO FISICO Funcionarios áreas 2.3.2.2.1 Solicitar la ubicación del mismo según las instrucciones suministradas por el Coordinador del Grupo de Archivo, de acuerdo con la situación presentada, pudiendo ser:  Fallas en la aplicación de mercurio: Emitir mensaje de solicitud de ubicación del documento, dirigido al correo electrónico: archivo@icetex.gov.co.  Fallas en los aplicativos de mercurio y correo electrónico: Consultar de forma personal. Outsourcing de Archivo 2.3.2.2.2 Recibir la solicitud de ubicación del documento y proceder a buscarlo en la base de datos del sistema de consulta de archivo, efectuando radicación en la Planilla de Préstamos. 2.3.2.2.3 Dar respuesta de los documentos encontrados por la misma vía que se solicitó:  Fallas en la aplicación de mercurio: Emitir mensaje de respuesta de ubicación del documento, dirigido al correo electrónico del funcionario solicitante.  Fallas en los aplicativos de mercurio y correo electrónico: Responde de forma personal o por teléfono al funcionario solicitante. 2.3.2.2.4 De no encontrarse la ubicación del documento, emitir certificación de no ubicación del documento y dirigirla al Coordinador del Grupo de Archivo de Secretaria General, quien procede a contestar por comunicación al área solicitante. Funcionarios de Áreas 2.3.2.2.5 Recibir respuesta con los datos de la ubicación del documento solicitado. 2.3.2.2.6 Diligenciar el formato Autorización de consulta al archivo (F228) y entregar dicho formato al Outsourcing de Archivo. Outsourcing de Archivo
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 87 de 123 2.3.2.2.7 Recibir formato Autorización de consulta al archivo (F228) y ubicar documento en la base de datos del sistema de consulta de archivo. 2.3.2.2.8 Notificar por vía telefónica al funcionario solicitante de la ubicación del documento. 2.3.2.2.9 Diligenciar el formato “Control de préstamos de unidades documentales o expedientes” (F146). 2.3.2.2.10 Actualizar Base de Datos “Préstamos Icetex”, cambiando el estado del documento a “Listo entrega”. Funcionarios Áreas 2.3.2.2.11 Al recibir notificación, acercarse al Outsourcing de Archivo a recoger documento y firmar como “Recibido” en el formato “Control de préstamos de unidades documentales o expedientes” (F146). 2.3.2.2.12 Utilizar el documento y resolver la consulta. 2.3.2.2.13 Devolver documento al Area de Prestamos de Archivo. Outsourcing de Archivo 2.3.2.2.14 Recibir el documento y actualizar el estado a “Devuelto” en la Base de Datos “Préstamos Icetex”. 2.3.2.2.15 Enviar el documento a custodia. 2.3.2.2.16 Recibir unidades de conservación documental y archivar nuevamente. 2.3.2.2.17 Actualizar estado a “Disponible” en la Base de Datos “Préstamos Icetex”. 2.3.2.3. RETORNO A LA NORMALIDAD Coordinador Grupo de Archivo de Secretaria General 2.3.2.3.1 Una vez confirmado que la Oficina de Riesgos informa la solución del incidente en los aplicativos de mercurio y/o correo electrónico, el Coordinador del Grupo de Archivo
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 88 de 123 informará a los usuarios de las áreas y Centro de Atención Nacional para que reanuden la operativa en este sistema. Outsourcing de Archivo 2.3.2.3.2 Actualizar el sistema mercurio con los préstamos de documentos físicos, tomando como referencia la base de datos de Préstamos Icetex. 3.HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 20/12/2012 Documento inicial
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 89 de 123 CONTINGENCIA DE LA GUIA DE PAGO DE SERVICIOS PUBLICOS Y ADMINISTRACIONES – SECRETARIA GENERAL Macro proceso: Gestión Administrativa y Apoyo Logístico Proceso: Servicios Generales y Apoyo Logístico 1. OBJETIVO Describir la contingencia del procedimiento de Pago de Servicios Públicos y Administraciones, considerando los escenarios que causan de interrupción, los contactos de personal y los recursos mínimos necesarios. 2. ALCANCE El documento cubre la contingencia de pago de servicios públicos y administraciones urgentes de tramitar en un evento de interrupción de la operación. 3. EVENTOS DE CONTINGENCIA A continuación se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupción de la operación: 3.1 CONTINGENCIA POR AUSENCIA DE PERSONAL Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación: 3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo de Administración de Recursos Físicos de Secretaria General (Ver Planilla de Contactos Grupo de Recursos Físicos – Secretaria General). 3.1.2 El Coordinador del Grupo de Administración de Recursos Físicos activa la contingencia por “Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de información.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 90 de 123 3.1.3 El Coordinador del Grupo de Administración de Recursos Físicos verifica la continuidad exitosa de los procesos. 3.2 CONTINGENCIA DE LUGAR 3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario de nivel 3 – Coordinador del Grupo de Administración de Recursos Físicos del incidente ocurrido y las instrucciones de activación de la contingencia de lugar. 3.2.2 El Coordinador del Grupo de Administración de Recursos Físicos contacta al personal crítico (equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. 3.2.3 El Coordinador del Grupo de Administración de Recursos Físicos informa al Jefe de Riesgos o su suplente que ocupará los puestos de trabajo en el lugar alterno de trabajo. 3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Administración de Recursos Físicos solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los programas requeridos. 3.2.5 El Coordinador del Grupo de Administración de Recursos Físicos confirma al Jefe de Riesgos la correcta continuidad de los procesos. 3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo. 3.2.7 El Coordinador del Grupo de Administración de Recursos Físicos devuelve el “kit de contingencia” para su custodia nuevamente. 3.2.8 El Coordinador del Grupo de Administración de Recursos Físicos comunica al personal crítico el “Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”. 3.3 CONTINGENCIA POR FALLAS TECNOLOGICAS La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya interrupción prolongada de telecomunicaciones.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 91 de 123 3.3.1 Contingencia por fallas de software, hardware o telecomunicaciones El procedimiento de Pago de Servicios Públicos y Administraciones utiliza el aplicativo Apoteosys para el desarrollo de las actividades. Ante fallas tecnológicas se procede de la siguiente manera: 3.3.1.5 El usuario comunica el evento al Coordinador del Grupo de Administración de Recursos Físicos. 3.3.1.6 El Coordinador del Grupo de Administración de Recursos Físicos informa la situación presentada al Coordinador de Infraestructura de la Dirección de Tecnología. 3.3.1.7 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología. 3.3.1.8 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología (servidores backup, sistemas de recuperación de información, enlaces de comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la Oficina de Riesgos, relacionada a continuación: 3.3.2 Contingencia manual para el procedimiento de pago de servicios públicos y administraciones ante fallas tecnológicas CONDICIONES GENERALES La Oficina de Riesgos activa la contingencia cuando la recuperación del sistema Apoteosys supera el tiempo objetivo de recuperación (RTO) del procedimiento de Pago de Servicios Públicos y de Administraciones. El Coordinador del Grupo de Administración de Recursos Físicos de Secretaria General procede a informar a su Grupo de Trabajo el incidente y dar instrucciones para operar con el procedimiento de contingencia. Para el desarrollo de este procedimiento se requiere el formato manual de Orden de Pago. DESCRIPCIÓN DEL PROCESO Técnico / Secretaria General Grupo de Correspondencia / Líder Outsourcing / Puntos de Atención Nacional
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 92 de 123  Para la recepción de facturas de pago de servicios públicos y administraciones de bienes inmuebles de la ciudad de Bogotá, se realizan las actividades del procedimiento “Correspondencia Externa”.  Para la recepción de las facturas de pago de servicios públicos y de administraciones de bienes inmuebles fuera de Bogotá, se realizan las actividades de la Guía “Preparación y Envío de Tulas”. Técnico / Secretaria General – Grupo de Administración de Recursos Físicos 3.3.2.1 Recibir facturas de pago de servicios públicos y administradores de bienes inmuebles y verificar que las mismas estén correctas. Si se llegara a presentar alguna inconsistencia se subsana comunicándose con la empresa prestadora del servicio. 3.3.2.2 Generar de forma manual la Orden de Pago de cada factura. 3.3.2.3 Firmar la Orden de Pago en señal de elaborado y presentarla para su revisión y aprobación al Aprobador y Ordenador del Gasto. 3.3.2.4 Registrar en el libro control de órdenes de pago de la Secretaria General, cada una de las órdenes de pago que se entregan al Grupo de Presupuesto de la Vicepresidencia Financiera. Continuar con las actividades de los procedimientos de Registro presupuestal de Obligaciones, Análisis contable de causaciones y cuentas por pagar y Giro. 4.HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 15/03/2013 Documento inicial
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 93 de 123 8.3 ANEXOS DE PROCEDIMIENTOS 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO Director de Continuidad o Director de Continuidad Alterno 1. Activa la contingencia a sitio alterno. Jefe de Riesgos 2. Activa la cascada telefónica y comunica el evento de incidente mayor al Vicepresidente, Director o Jefe de cada área, quien a su vez informa al colaborador de siguiente jerarquía de su área acerca del incidente ocurrido y las instrucciones de activación de la contingencia de lugar. Secretaria General (Líder Administración Recuperación Infraestructura Física) 3. La Secretaria General con apoyo del Comité SARO-SARLAFT, contacta a los proveedores de las alternativas seleccionadas, definen el sitio alterno en el cual se mantendrá la operación de la Entidad en momento de contingencia. 4. Acuerda con el proveedor la utilización de sus instalaciones por el período de tiempo que dure la contingencia, según las necesidades del Icetex descritas por el Coordinador de Negocio y el Comité SARO-SARLAFT en ese momento. 5. Coordina el traslado del personal al centro de operaciones establecido para operar en contingencia. Coordinadores de recuperación del negocio 6. Convoca al personal identificado como personal crítico (equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. El equipo de recuperación se encuentra detallado en el documento “Cascada Telefónica”, que posee el Líder de PCN de cada área.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 94 de 123 7. Una vez instalados en el centro de operaciones alterno, realiza un chequeo del personal mínimo que se encuentra en el sitio, en caso de ser necesario llamará al personal suplente requerido. 8. Solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los programas requeridos. 9. Confirma al Director de Continuidad Alterno o su suplente la correcta continuidad de los procesos. Secretaria General (Líder Administración Recuperación Infraestructura Física) 10.Realiza una evaluación del sitio alterno, para validar que los recursos requeridos se encuentren disponibles en el sitio. Director de Continuidad o Director de Continuidad Alterno 11. Solicita a los diferentes Coordinadores de Recuperación un estado del evento y como ha transcurrido la operación en contingencia, se debe de usar el formato de Activación y Seguimiento de la Activación (detallado en el numeral 8.5.5). 12. El Comité SARO – SARLAFT analiza los resultados del estado de la contingencia y, procede a decidir:  “NO” terminar la contingencia: Los equipos de recuperación deben seguir ejecutando la operación en contingencia.  “SI” terminar la contingencia: Basado en la información suministrada por los Coordinadores y el análisis realizado por los miembros del Comité, el Director de Continuidad decide terminar la contingencia, da la orden de activar el proceso de retorno, confirma la disponibilidad y funcionabilidad del sitio normal de trabajo y se informa a los diferentes equipos la decisión. Coordinadores de recuperación del negocio 13. Devuelve el “kit de contingencia” para su custodia nuevamente. 14. Comunicar al personal que participó en la contingencia, el “Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 95 de 123 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS OBJETIVOS  Definir un procedimiento para la atención de los incidentes o problemas presentados en los sistemas o aplicativos que manejan las áreas usuarias.  Definir responsabilidades en cuanto a la declaración de contingencias por incidentes o problemas presentados. A continuación se detalla el procedimiento para el manejo de incidentes por problemas de sistemas: Colaborador del área 1. Detalla en forma precisa el evento o incidente que se presenta e informa al Líder de PCN de la dependencia. Líder PCN de área 2. Verifica si el mismo evento se le está presentando a otros colaboradores de la misma área y si sus tareas afectan a otras dependencias, se debe validar con las mismas si el problema es general. 3. Una vez tenga claridad sobre el evento que se está presentando y los colaboradores involucrados, debe clasificarlo teniendo en cuenta las siguientes definiciones para determinar si es un incidente o un problema:  Incidente: Afecta puntualmente a una persona o grupo de personas.  Problema: Afecta de manera general a todo el Icetex o a los clientes. 4. Ingresa en el aplicativo de reporte de incidencias del Instituto. Esto con el fin que la Dirección de Tecnología pueda dejar reportado el evento en el Control de Incidentes. 5. Envía al correo electrónico al Jefe de Riesgos y Coordinador de Infraestructura de la Dirección de Tecnología e informa el incidente de PCN. Coordinador de Infraestructura – Dirección de Tecnología
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 96 de 123 6. Define la solución al incidente (tiempo y estrategia de recuperación) y da respuesta sobre la gravedad del evento y tiempo de recuperación. Si el daño es importante, el Director de Tecnología decide la activación del plan de contingencia de tecnología afectado (servidores backup, sistemas de recuperación de información, enlaces de comunicación), e informa al Director de Continuidad Alterno (Jefe de Riesgos). Director de Continuidad Alterno (Jefe de Riesgos) 7. Informa la situación al Líder de PCN del área afectada. 8. Si el tiempo de recuperación es menor al Tiempo Objetivo de Recuperación (RTO) del proceso afectado deberá esperar, de lo contrario declara la contingencia manual (cuando se cuente con ésta), mientras se soluciona definitivamente el incidente o problema presentado. Líder de PCN área afectada 9. Desarrolla la estrategia manual (Ver anexo 8.2, que contiene las contingencias manuales estimadas). Coordinador de Infraestructura – Dirección de Tecnología 10. Una vez solucionado el incidente o problema por parte de la Dirección de Tecnología, informa al Director de Continuidad Alterno (Jefe de Riesgos) y al Líder PCN del área afectada para que se levante la contingencia. Director de Continuidad Alterno (Jefe de Riesgos) 11. Solicita levantar la contingencia del incidente presentado y retorno a la normalidad. Líder PCN de área 12. Asegura el retorno a la normalidad de las operaciones de acuerdo con el numeral de “Retorno a la normalidad” de la estrategia manual establecida, ejecuta las acciones que permitan que los clientes no se vean afectados en los procesos del área, así como los reportes a entes reguladores.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 97 de 123 13. Una vez se haya solucionado el incidente, diligencia el formato “Reporte de incidente PCN” (ver numeral 8.5.2), lo entrega al Jefe de la Oficina de Riesgos, con copia al Líder del Proceso responsable del área afectada.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 98 de 123 8.4 ANEXOS DE TABLAS 8.4.1 TIPOS DE AMENAZA NATURALES INSTALACIONES SOCIAL TECNOLOGICAS OPERACIONALES Inundaciones Fuego Huelgas Virus Crisis financiera Desastre natural Explosión Epidemias Hacking Pérdida de suplidores Tornados Caída e energía Materiales peligrosos Pérdida de datos Fallas en equipos Huracanes Daño de agua Problemas de transporte Fallas de hardware Aspectos regulatorios Sismos Pérdida de acceso Pérdida de personal clave Fallas de software Mala publicidad Tormentas Falla mecánica Motines Fallas en la red Incendios Protestas Fallas en las líneas telefónicas Sabotaje Vandalismo Bombas Violencia laboral Terrorismo
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 99 de 123 8.4.2 TIPOS DE VULNERABILIDADES FACTOR VULNERABILIDAD FACTOR VULNERABILIDAD Falta de administración del conocimiento Carencia de planes de emergencia y administración de crisis Carencia de capacitación y entrenamiento Exposición a incendios e inundaciones Insuficiencia capacidad de personas Fallas de potencia electrica Inadecuada preparación ante desastres Construcción inadecuada de edificios y centros de cómputo Falta de seguridad laboral y salud ocupacional Falta de controles medio ambientales Falta de pertenencia a la entidad y cultura en continuidad Ubicación del edificio Falta de segregación de funciones Fallas en construcción de edificaciones bajo normas de sismo resistencia y control de impactos de afectación física. Falla en la administración de proveedores de servicios profesioales Carencia de control de accesos en áreas críticas restringidas. Falta de políticas de comunicación formal Carencia de definición de planes de atención y evacuación ante conatos de incendio, amenazas de terrorismo, terremoto, o situaciones similares que ponen en riesgo las vidas humanas Falta de políticas de retención de personal Controles predictivos, preventivos o correctivos de fallas relacionadas con aire acondicionado, suministro de energía y potencia eléctrica requerida por equipos electrónicos o mecánicos. Otros Control proactivo de suministro de elementos críticos como agua, indispensables para mantener condiciones higiénicas dentro de las edificaciones, además de equipos de control de temperatura y ambiente. Otros Carencia de procesos de administración de servicios de IT de información Falta de administración Falta de estrategias de disponibilidad Falta de controles medioambientales Inadecuadas estrategias de recuperación Falta de procedimientos alternos Falta de acuerdos de servicio conproveedores Dependencia entre procesos Puntos únicos de falla en la infraestructura de IT Falla en la gestión de calidad (disciplina de registro, comunicación, documentación, integración, evaluación) Alta dependencia de proveedores Limitaciones de capacidad Inadecuado control, gestión y mantenimiento de servidores, bases de datos, redes, almacenamiento, aplicaciones y sistemas de información, información, archivos u operación de usuarios. Falta de definición de acuerdos de nivel de servicio Falta o inadecuados procesos definidos e implementados para el soporte del servicio /administración de incidentes, administración de cambios, administración de configuración, administración de Dependencia y falta de control de proveedores Falta o inadecuados procesos definidos e implementados para la entrega del servicio (administración de capacidad y desempeño, administración de continuidad de tecnología, administración de acuerdos de niveles de servicios). Falla en suministrar claridad en roles y responsabilidades relacionadas con las operaciones críticas Falla en el Inventario (stock) de componentes o partes críticas. Falta o fallas en acuerdos de servicios medibles y confiables con proveedores Ausencia de sitios alternos de procesamiento. Falta o fallas enla medición de tiempos y cantidad de recursos críticos Inadecuada capacidad de enlaces de trasmisión y redundancia. No se cuenta con jormadas de evacuación del edificio Falta de pruebas de recuperación y retorno, restauración de cintas de respaldo. Falta de respaldos de datos (tipo, frecuencia, SW, política de respaldo de datos, rotulado y rotación de cintas, ubicación de cintotecas. Falta o falla de centros de custodias (distancia, frecuencia de recolección, convenios). Falla en Requerimiento a proveedores (contingencias, sitios alternos). Otros INFRAESTRUCTURAFISICA PERSONASINFRAESTRUCTURATECNOLOGICA PROCESOS
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 100 de 123 8.4.3 CRITERIOS DE FRECUENCIA FRECUENCIA DEFINICION CASOS /AÑO VALOR MUY BAJA Baja probabilidad de ocurrencia; ha sucedido o se espera que suceda menos de una vez en 20años Entre 0.00y 0.05 1 BAJA Limitada probabilidad de ocurrencia; sucede en forma esporádica, una vez entre los 5y los 20años. Entre 0.05y 0.2 2 MODERADA Mediana probabilidad de ocurrencia; sucede algunas veces, una vez entre 1y los 5años. Entre 0.2y 1.0 3 ALTA Significativa probabilidad de ocurrencia; sucede en forma reiterada, entre 1vez y 10veces al año Entre 1.0y 10 4 MUY ALTA Alta probabilidad de ocurrencia; ocurre en forma seguida, mas de 10veces al año. Más de 10 5
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 101 de 123 8.4.4 CRITERIOS DE IMPACTO VL. ASOCIA DO CALIFICACION FINANCIERO PROCESO REPUTACIONAL LEGAL SERVICIO AL CLIENTE IMPACTO HUMANO INFRAESTRUCT URA FISICA 1 Insignificante Durante una interrupción de las operaciones normales cuya duración es mayor a 7 días, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos de hasta 1 hora. al interior del proceso. Durante una interrupción de las operaciones normales del procedimiento mayor a 7 días, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 7 días. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo es mayor a 7 días o el número de clientes externos afectados diariamente es igual o menor a 50. No se presenta problemas de seguridad y salud para los empleados No afecta las instalaciones físicas 2 Menor Durante una interrupción de las operaciones normales cuya duración es mayor a 48 horas hasta 7 días, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos mayor a 1 horas hasta 4 horas. A nivel de la entidad y conocimiento limitado de clientes. Durante una interrupción de las operaciones normales del procedimiento mayor a 48 horas hasta 7 días, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 48 horas hasta 7 días. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo mayores a 48 horas hasta 7 días o el número de clientes externos afectados diariamente es mayor a 50 hasta 500. Potencial por herida leve Acceso restringido a las instalaciones físicas (80%) 3 Moderado Durante una interrupción de las operaciones normales cuya duración es mayor a 24 horas hasta 48 horas, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos mayores a 4 horas y hasta 1 dia. El problema es de conocimiento de un número considerado de clientes. Durante una interrupción de las operaciones normales del procedimiento mayor a 24 horas hasta 48 horas, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 24 horas hasta 48 horas. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo mayores a 24 horas hasta 48 horas o el número de clientes externos afectados diariamente es mayor a 500 hasta 1000. Herida que requiere tratamiento de hospital a más de un miembro del personal. Reducción del personal a nivel local. Acceso restringido a las instalaciones físicas (60%) 4 Importante Durante una interrupción de las operaciones normales cuya duración es mayor a 4 horas hasta 24 horas, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos mayores a un día hasta 2 días. A nivel sectorial / Entes de control. Durante una interrupción de las operaciones normales del procedimiento mayor a 4 horas hasta 24 horas, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 4 horas hasta 24 horas. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo mayores a 4 horas hasta 24 horas o el número de clientes externos afectados diariamente es mayor a 1000 hasta 5000. Heridas significativas.muert e potencial. Reducción significativa de personal. Imposibilidad de acceso a instalaciones físicas 5 Masivo Durante una interrupción de las operaciones normales entre 0 y 4 horas, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos mayores a 2 días. Medios de comunicación. Durante una interrupción de las operaciones normales del procedimiento mayor a 0 horas hasta 4 horas, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 0 horas hasta 4 horas. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo es de 0 a 4 horas o el número de clientes externos afectados diariamente es mayor a 5000. Muertes y/o afectación total sobre las vidas del personal. Reducción amplia del personal. Destrucción total de instalaciones físicas NOTA: Contiene las variables de impacto aplicadas en el Análisis de Impacto del Negocio: Financiero, Proceso, Reputacional, Legal y de Servicio al Cliente Las variables de impacto de: Proceso y Reputacional, son las mismas que se definieron para la Administración del Riesgo Operativo - SARO Las variables de : Impacto humano e Infraestructura física deben ser contempladas por el tema de continuidad El valor asociado y la calificación son las mismas utilizadas para la administración del riesgo operativo - SARO, iniciando desde la calificación 1. CRITERIO DE IMPACTO RIESGO PLAN DE CONTINUIDAD DEL NEGOCIO
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 102 de 123 8.5 ANEXOS FORMATOS 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA Fecha: Nombre Dependencia Nombre Area Gerente Dependencia Jefe Area Cargo Cargo Calificación BIA Tiempo Objetivo de Recuperación (RTO) Valor del BIA Procedimiento 1 Procedimiento 2 Procedimiento 3 Procedimiento 4 Procedimiento 5 Procedimiento 6 Procedimiento 7 Procedimiento 8 Procedimiento 9 Procedimiento 10 Líder PCN OBSERVACIONES Cargo Líder PCN ANALISIS DE IMPACTO DEL NEGOCIO ( BIA) Procedimiento No. Valoración del BIA Nombre del Procedimiento Ir a Parámetros ir a Cuestionario Ir a Sección Requerimientos Ir a Instrucciones Cuestionario
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 103 de 123 Cuestionario BIA Regulatorio/Legal 1 2 3 El Instituto podría perder una ganancia de más de $170,000,000. 4 El Instituto dejaría de percibir ingresos, a través de préstamos o productos que superan los $170,000,000. 5 6 7 8 9 10 Nombre del procedimiento (Llenado Autmático) ImpactosparaseranalizadosporelÁreadeNegocio/Apoyo Clasificación Final Derivada BIA Evalue el efecto del impacto reputacional en cuanto a las opiniones de los clientes, sectores educativo y financiero y/o el publico en general. CompruebeDependencia- ParaserllenadoporPCN ¿Este procedimiento proporciona información crítica para cualquier otro procedimiento (Por favor, indique "Sí" o "No") El procedimiento tiene proveedores críticos. Durante una interrupción de las operaciones normales del procedimiento, describir el período en el que: Describa el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto. Por favor indique el nombre del procedimiento si la respuesta anterior es Sí Servicio a Cliente Externo ¿Cuál sería el impacto en otros procedimientos o áreas? Describa la importancia de las actividades de sus proveedores externos en sus procedimientos. Reputacional Proveedores Críticos ¿Cuál es el tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo? Proveedores Tiempo Objetivo de Recuperación (RTO) Valor del BIA Proporcione la calificación BIA de acuerdo al procedimiento mencionado anteriormente. (Arriba) Describa el tiempo máximo tolerable que está dispuesto a perder de información de su procedimiento ante una interrupción en los sistemas de información. Durante una interrupción de las operaciones normales del procedimiento, describa el plazo en el cual las sanciones por el incumplimiento podría superar los $170,000,000. Financiero Número de clientes externos afectados diariamente Procedimientos
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 104 de 123 Nombre del Procedimiento Número de funcionarios tiempo completo para ejecutar el procedimiento Número de funcionarios necesarios durante la recuperación Aplicación Critica - 1 Aplicación Critica - 2 Aplicación Critica - 3 Aplicación Critica - 4 Aplicación Critica - 5 Teléfono Interior Impresora Scanner Nombre del Procedimiento Dependencia del Proveedor Critico? Nombre del Proveedor Critico - 1 (si lo hay) Nombre del Proveedor Critico - 2 (si lo hay) Nombre del Proveedor Critico - 3 (si lo hay) Nombre del Proveedor Critico - 4 (si lo hay) Nombre del Proveedor Critico - 5 (si lo hay) Nombre del Proveedor Critico - 6 (si lo hay) Nombre del Proveedor NO Critico - 1 (si lo hay)
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 105 de 123 Calificación BIA Tiempo Objetivo de Recuperación (RTO) Valor del BIA Procedimiento 1 Procedimiento 2 Procedimiento 3 Procedimiento 4 Procedimiento 5 Procedimiento 6 Procedimiento 7 Procedimiento 8 Procedimiento 9 Procedimiento 10 Firmas Detalles Jefe Área Líder BCP Firma Resultados del Análisis de Impacto de Negocio (BIA) <<AREA>> FECHA La información contenida en este documento es exclusivamente de <<AREA>>. Para llegar al nivel adecuado de preparación de la continuidad, la <<AREA>> ha respondido al Analisis de Impacto del Negocio e información para justificar el apoyo en cada una de las respuestas seleccionadas en el cuestionario BIA, así como la información de la Tecnología " Requisitos durante el desastre y la información sobre "Proveedores Críticos" de los procedimientos. Esta información será utilizada en toda la documentación de continuidad del negocio en el futuro. El área analizada <<No.>> procedimientos, se obtuvieron los siguientes resultados: Procedimiento No. Nombre del Procedimiento Valoración del BIA El resultado obtenido para cada uno de los procedimientos determina lo siguiente: * Calificación BIA: Indica la sensibilidad de tiempo entre los niveles Misión Crítica a insignificante. Esto se deriva a través de la realización del cuestionario BIA. • Periodo máximo tolerable de interrupción: El período de tiempo después de una interrupción, en el que el Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto significativo. • Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento de prioridades de recuperación durante una situación difícil. Conclusiones El BIA constituye un aporte fundamental para obtener la Estrategia para la Continuidad del Negocio. En función de la criticidad, una amplia gama de estrategias de Continuidad de Negocios se pueden implementar. Estas estrategias serán acordadas entre las Áreas de Negocio/Apoyo y el equipo de Plan de Continuidad de Negocio (PCN). De acuerdo con lo anterior, los procedimientos que se priorizan en la primera fase de revisión de las disposiciones del Plan de Continuidad de Negocios (PCN), serán los valores que aparecen en el BIA con valor <<Misión Critica>> y <<Masivo>> en el cuadro anterior. Nombre
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 106 de 123 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA REPORTE DE INCIDENTES DE CONTINGENCIA Información de Identificación Fecha del incidente Hora de ocurrencia Duración del incidente Proceso afectado Nombre del área Lugar donde se presentó el incidente Descripción del Riesgo Descripción del Incidente (Problema ocasionado) Causas del Incidente Medidas contingentes adoptadas Acción Participantes Nombre Cargo Efectos en el Funcionamiento del Icetex Retorno a la Operación normal Lecciones aprendidas Elaborado por: Revisado por: Nombre Nombre Firma Firma
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 107 de 123 8.5.3 CASCADA TELEFONICA CONTACTOS PERSONAL DEL AREA AREA: DEPENDENCIA: FECHA ACTUALIZACION: Rol Nombre Cargo Tel Interno Correo Electrónico Celular Casa CONTACTO PRINCIPAL EQUIPO RECUPERACION BRIGADISTA PERSONAL CRITICO (Reenviados a un sitio alterno de contingencia de corto tiempo) Contacto de Emergencia Primario para todas las áreas de negocio Contacto de Departamento Primario CascadaNivel 1 CascadaNivel 2- Contactarán alos Coordinadores de su área CascadaNivel 3- Contactarán al personal de sus propios grupo de cascada. Personal Personal Personal Personal Personal CASCADA TELEFONICA PCN PROCEDIMIENTO NOMBRES TELEFONO CASA TELEFONO CELULAR LISTA DE PERSONAL MINIMO POR PROCEDIMIENTO No. PERSONAS
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 108 de 123 AREA FECHA ACTUALIZACION Proveedor Descripción Proveedor Dirección Procedimiento Contacto Principal Contacto Alterno Teléfono Oficina Teléfono Oficina Teléfono Movil Teléfono Movil Correo Correo Proveedor Descripción Proveedor Dirección Procedimiento Contacto Principal Contacto Alterno Teléfono Oficina Teléfono Oficina Teléfono Movil Teléfono Movil Correo Correo Proveedor Descripción Proveedor Dirección Procedimiento Contacto Principal Contacto Alterno Teléfono Oficina Teléfono Oficina Teléfono Movil Teléfono Movil Correo Correo LISTA DE CONTACTOS EXTERNOS
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 109 de 123 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS Proceso/Producto/Servicio Duración Estimada Duración Real Lugar de Ejecución Comité de crisis lideres de operación EvaluadoresObservadores 5 MÉTODO AUSAR EN LAEJECUCIÓN DE LAPRUEBA Se describe de manera general el procedimiento a llevar a cabo para el eficaz desarrollo de la prueba. (Orden del día) Ejecutores ESCENARIO DE INTERRUPCIÓN 3 4 Describir los productos (output) que se esperan obtener al finalizar la ejecución de la prueba. RESULTADOS ESPERADOS Describir las circunstancias y/o los eventos de interrupción a considerar durante el desarrollo de la prueba con el fin de ambientar la situación bajo la cual el plan de contingencia podría ser activado para el proceso objeto de la prueba. 2 Tipo de prueba Código de Referencia de la prueba 1 OBJETIVOS ESPECÍFICOS (Enunciar las acciones y/o actividades a desarrollar para lograr el objetivo general de la prueba) ALCANCE Establecer los elementos que hacen parte del proceso o servicio objeto de la prueba. OBJETIVO GENERAL (Definir claramente lo que se quiere lograr con el desarrollo de la prueba) Procedimientos involucrados CONTROLDEPRUEBAS OBJETIVOS Fecha Programada (dd/mm/aa) Fecha de Ejecución (dd/mm/aa) Riesgos ResponsableRiesgo y/o Dificultades Impacto Acción Identificar y describir los riesgos asociados a la ejecución de la prueba. En la identificación se deben tener en cuenta aspectos como: la afectación del servicio, la imagen, las capacidades técnicas, entre otros. 6 Integrantes de las Pruebas (Nombres) 7 GUIÓN DE PRUEBA Plan de pruebas del BCP de KPMG ABCDABCD ESCRITORIO Responsables Completamente satisfactorio Completamente satisfactorio
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 110 de 123 días 16/07/2010 8 ABCD Responsables Plan de pruebas del plan de Continuidad de Negocio Paso a Paso de la PLANEACIÓN Recursos mínimos necesarios 5 2. Observaciones de la Fase de Planeación de la Prueba ´1. Tiempo Ítem Descripción de la Actividad 1 Fecha y/o hora inicio Estimada / Real Fecha y/o hora finalización Estimada / Real 3. ABCD Fecha finalización y tiempo estimado 2 3 4 6 minutos ABCD Días/ Horas/ Minutos ABCD Paso a Paso de la EJECUCIÓN Observacionesde laFase de Ejecución de laPrueba 1. 2. Plan de pruebas del plan de continuidad de negocio Fecha finalización y tiempo estimado 3 2 1 Tiempo Ítem Descripción de la Actividad Fecha y/o hora finalizaciónResponsables Recursosmínimos Fecha y/o hora inicio
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 111 de 123 ABCD 0 ABCD n Plan de pruebas del plan de continuidad de negocio Observaciones de la Fase de Retorno a la Operación Normal 1. 2. Fecha y/o hora finalización Tiempo Días/ Horas/ Minutos Ítem Descripción de la Actividad Responsables Recursosmínimos Fecha y/o hora inicio 1 No aplica (N/A) Paso a Paso del RETORNO Fecha finalización y tiempo estimado 3 2
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 112 de 123 dd mm aa Lugar de la prueba Cargo Comentarios y/o Recomendaciones ¿Identificó oportunidades de mejora en cuanto al tiempo empleado en la ejecución de la prueba? Sí No Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la administración del tiempo durante la ejecución de la prueba. La duración de la prueba fue:(Marque con una X) En la realización de las pruebas son muy importantes sus comentarios y recomendaciones. Estos ayudan a mejorar y actualizar el programa de continuidad de negocio. Por favor escoja la respuesta adecuada y suministre cualquier comentario adicional. Excesivamente larga Por debajo del tiempo estimado Adecuada Excesivamente corta Sobrepasó el tiempo estimado 1 Evaluador FIRMA ABCD ENCUESTA DE SATISFACCIÓN Informacióngeneral Proceso/Producto/Servicio Evaluación Plan de pruebas del plan de Continuidad de Negocio ABCD Tipo de Integrante (Señale con una X) EjecutorEscritorio Por componentes Integrada Planeación Prueba No. Fase en la que participó Tipo de Prueba (Señale con una X) Ejecución Retorno Fecha Duración de la prueba Observador Nombres y Apellidos Institución
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 113 de 123 ¿Identificó oportunidades de mejora en cuanto al escenario definido para el desarrollo de la prueba y en cuanto a los recursos mínimos utilizados en la misma? Sí No Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer y mejorar el escenario definido para el desarrollo y los recursos mínimos utilizados en el desarrollo de la misma. Comentarios y/o Recomendaciones Comentarios y/o Recomendaciones 3 2 ¿Cómo fueron las instrucciones que recibió para ejecutar la prueba? (Marque con una X) Muy básicas Apropiadas y fáciles de entender Adecuadas Muy complejas Inapropiadas e insuficientes Identificó oportunidades de mejora en cuanto a la forma como fueron comunicadas las instrucciones para participar en la prueba? Sí No Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la definición de las instrucciones y la forma como deben ser comunicadas a los participantes. ¿Fue suficientemente realista la prueba para validar la efectividad del plan y/o procedimientos contingentes? (Marque con una X) Completamente en desacuerdo De acuerdo Completamente deacuerdo En desacuerdo
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 114 de 123 4 ¿Cuántos problemas y/o debilidades y/o aspectos por mejorar identificó durante el desarrollo de la prueba? (Marque con una X) De 1 a 2 De 5 a 6 Ninguno De 3 a 4 Más de 6 Por favor mencione los problemas y/o debilidades y/o aspectos por mejorar que identificó: Comentarios y/o observaciones Si identificó problemas y/o debilidades y/o aspectos por mejorar por favor enuncie algunas recomendaciones para fortalecer dichos aspectos. No 6 ¿Que tan efectiva fue la prueba? (Marque con una X) Poco efectiva Medianamente efectiva Muy Efectiva Satisfactoria Efectiva Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema. 5 ¿Se alcanzaron los objetivos de la prueba? (Marque con una X) Sí No Parcialmente Sin información Si su respuesta anterior fue No o Parcialmente, por favor describa las razones por las cuales ud. cree que no se alcanzaron satisfactoriamente los objetivos trazados para esta prueba. Comentarios y/o Recomendaciones Comentarios y/o Recomendaciones Identificó oportunidades de mejora en cuanto a la efectividad de la prueba? Sí
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 115 de 123 7 Califique la efectividad de los procedimientos (Paso a Paso) establecidos en cada una de las etapas para llevar a cabo la prueba (Marque con una X) Poco efectivos Poco Efectivos Poco Efectivos Medianamente Medianamente Efectivos Efectivos Efectivos Satisfactorios Satisfactorios Satisfactorios Efectivos Efectivos Efectivos Sí No Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema. 8 ¿Cúal es su calificación general del desarrollo de la prueba respecto a los resultados obtenidos? (Marque con una X) Completamente satisfactorio Adecuado Insatisfactorio Comentarios y/o Recomendaciones Fase de planeación Fase de Ejecución Fase de Retorno Comentarios y/o Recomendaciones ¿Identificó oportunidades de mejora en cuanto a la efectividad de los procedimientos (Paso a Paso) definidos para llevar a cabo la prueba?
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 116 de 123 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN Activación Hora DD/MM/AA Retorno Hora DD/MM/AA Finalización Hora DD/MM/AA Activación de los planes de: COMUNICACIÓN DE LA ACTIVACIÓN DEL PLAN Cargo Informado No informado Secretaria General Informado No informado El Presidente del Icetex Secretaria General Vicepresidente Financiero Vicepresidente de Crédito y Cobranza Vicepresidente de Fondos en Administración Director de Tecnología Jefe de la Oficina Jurídica Oficial de Cumplimiento Jefe Oficina de Riesgos Jefe de la Oficina de Control Interno Jefe Oficina de Comunicaciones FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN Observación (describa la hora vs las actividades y/o decisiones tomadas Hora Actividad
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 117 de 123 8.6 ANEXOS RESULTADOS 8.6.1 EQUIPO DE TRABAJO DEL PCN Dependencia Area Líder PCN Líder Proceso Vicepresidencia de Crédito y Cobranza Natalia Caycedo Edith Cecilia Urrego Herrera Grupo de Crédito María Victoria Camargo Grupo de Cartera Ofrey Marin Saenz Vicepresidencia de Fondos en Administración Diana Patricia Olaya Campo Elias Vaca Perilla Oficina de Relaciones Internacionales Diana Carolina Gómez William Barreto Oficina Comercial y Mercadeo Luyfer Osorio Andres Felipe Murillo Vicepresidencia Financiera Grupo de Presupuesto Jorge Nelson Gaitan Leon Wilson Eduardo Pineda Jorge Nelson Gaitan Leon Dirección de Contabilidad Jorge Enrique Molina Ramírez Wilson Eduardo Pineda Dirección de Tesorería Catalina Peña José Gómez Wilson Eduardo Pineda Ana Cecilia Arboleda Marín Oficina Asesora Jurídica Ricardo Cortés Pardo Campo Elias Vaca Perilla Dirección de Tecnología Victor Raul Bautista Galindo Francisco Pulido Fajardo Oficina Asesora de Comunicaciones Andres Mauricio Rivera Sánchez Amanda Ramírez Secretaria General Coordinadora Grupo de Contratos Ingrid Marcela Garavito María Eugenia Méndez Munar Coordinadora Grupo Correspondencia Luz Marielly Morales Coordinador Grupo de Archivo Gerardo Alonso Rodríguez Pineda Coordinadora Grupo Talento Humano Miryam Cardona Giraldo Coordinador Grupo Recursos Físicos Gloria Nancy Méndez Ibañez Oficina de Riesgos Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez Oficial de Cumplimiento Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez Oficina Asesora de Planeación Edgar Fabio Díaz Ramírez Rodrígo Fernando Acosta Trujillo Oficina de Control Interno Carlos Eduardo Cruz Luz Alba Sánchez Sánchez
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 118 de 123 8.6.2RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA Se adelantó la Evaluación BIA, aplicando la metodología establecida en el Icetex, se llevó a cabo con la participación de la Oficina de Riesgos, los Líderes de PCN y de Proceso. Este análisis contiene: PROCESOS Y PROCEDIMIENTOS ANALIZADOS El Grupo de Trabajo de PCN analizó la totalidad de los procesos con los que cuenta la Entidad, revisando 134 procedimientos. Tal evaluación fue validada y aprobada por los Lideres del Proceso y en constancia firmaron el Acta resumen correspondiente. Estos procedimientos fueron calificados como se ilustra en el siguiente cuadro, los cuales están agrupados por tipo de proceso: Los resultados indican que los procedimientos calificados en: Nivel 1AAA, Nivel 1AA, Nivel 1ª y Nivel 2, cuyo tiempo objetivo de recuperación (RTO) oscila entre 4 y 48 horas son considerados como críticos – prioritarios para la Entidad, suman 32 procedimientos y es de vital importancia establecer la estrategia de continuidad para cada uno de estos procedimientos. Los restantes 102 procedimientos fueron calificados entre los niveles 3 al 6, lo que indica que permiten un tiempo mayor de recuperación. Los procedimientos calificados como críticos son: TIPO PROCESO NO. PROCESOS Nivel 1AAA 4 horas Misión Crítica Nivel 1AA 8 horas Misión Crítica Nivel 1A 24 horas Masivo Nivel 2 48 horas Masivo Nivel 3 7 días Medio Nivel 4 14 días Medio Nivel 5 30 días Bajo Nivel 6 >30 días Insignificante MISIONAL 14 38 1 1 4 14 7 7 4 APOYO 19 68 1 11 9 17 10 11 9 ESTRATEGICOS 7 24 2 2 8 6 6 EVALUACION 1 4 1 2 1 TOTAL 41 134 1 1 15 15 31 25 26 20 NIVEL DE CALIFICACION BIA POR PROCEDIMIENTO VALOR BIA: RTO: CALIFICACION BIA:
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 119 de 123 TIEMPO OBJETIVO DE RECUPERACION – PROCEDIMIENTOS PRIORITARIOS PARA LA ENTIDAD A continuación se detalla los procedimientos críticos y sus necesidades de recursos, de acuerdo con la calificación BIA obtenida: NIVEL 1ª MASIVOS – TIEMPO DE RECUPERACION MENOR A 24 HORAS A continuación se detallan los procedimientos críticos que requieren de un tiempo de recuperación menor a 24 horas y los recursos que se necesitan para operar: N - 1AAA 4horas Misión crítica Atención al cliente Otorgamiento de becas colombianos en el exterior N - 1AA 8horas Misión crítica Cumplimiento de operaciones de inversión Otorgamiento de becas posgrados para extranjeros en Colombia Gestión de legalización y renovación para aprobación del desembolso Cierre de cartera Actualización de contenidos en lapáginaWeb Facturación época de estudios, período de gracia y amortización Custodiade Garantías Base de datos Suscripción y legalización de contrato, convenio, ordenes de servicio y/o compra Soporte aInfraestructura Gestión de correspondenciaexterna Atención acciones de tutela Registro presupuestal de compromisos Consultade archivo Registro presupuestal de obligaciones Apoyo logístico Causaciones y cuentas porpagar Liquidación de nómina Generación de información exógena, elaboración y transmisión de información Expedición del certificado de disponibilidad presupuestal Presentación y pago de impuestos Análisis contable con sus contrapartidas críticas Giro Cierre contable mensual Servicio aladeuda Aplicación del modelo de referenciade carteracomercial Gestión de incidentes de seguridad Medición, transmisión y seguimiento del VaR Gestión de vulnerabilidades Requerimientos Entes de Control NIVEL PROCEDIMIENTO Nivel 2 48horas Masivo NIVEL1A 24horas Masivo NIVEL PROCEDIMIENTO
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 120 de 123 NIVEL 2 – MASIVOS – TIEMPO DE RECUPERACION 48 HORAS Con esta calificación fueron evaluados quince (15) procedimientos, los cuales se detallan a continuación con los recursos necesarios para operar: RECURSO HUMANO RECURSO HUMANO OUTSOURCING COMPUTADOR TELEFONO IMPRESORA ESCANER 1 Gestion de legalización y aprobación del desembolso 8 8 3 SI SI <=24 Horas C&CETEX Cobol 2 Actualización de contenidos en Página Web 1 1 1 SI <= 24 horas Internet Office Correo electrónico 3 Registro presupuestal de compromisos 2 1 1 SI <= 8 horas Apoteosys 4 Registro presupuestal de obligaciones 0 SI <= 24 horas Apoteosys 5 Causaciones y cuentas por pagar 1 1 <= 24 horas Apoteosys 6 Presentación y pago de impuestos 1 <= 24 horas Apoteosys 7 Generación de información exógena, elaboración y transmisión de información 1 <= 24 horas Apoteosys 8 Giro 2 1 1 SI SI <= 4 Horas Apoteosys Office Internet 9 Servicio a la deuda 1 1 SI SI <= 4 Horas Office Internet 10 Gestion de correspondencia externa 2 1 1 SI SI <= 4 Horas Mercurio 11 Custodia de garantias 1 3 1 1 SI <= 8 horas Mercurio SGD V2.0 -MTI Página Web 12 Suscripción y legalización de contrato, convenio, ordenes de servicio y/o compra 2 2 SI <= 4 Horas Correo electrónico Office 13 Gestión de incidentes de seguridad 1 1 1 SI <= 24 horas Correo electrónico 14 Gestion de vulnerabilidades 1 1 SI <= 24 horas Gestor de Vulnerabilidades MacAFFE 15 Requerimientos Entes de Control 2 2 1 SI SI <= 24 horas C&CETEX Apoteosys Cobol Total Requerimientos 26 3 21 10 PROCEDIMIENTONo. PRINCIPALES APLICATIVOS REQUERIDOS BIENES MUEBLESRECURSO HUMANO RPO
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 121 de 123 RESUMEN DE INFRAESTRUCTURA REQUERIDA Durante la actividad BIA se identifica la infraestructura requerida para el desarrollo de todos y cada uno de los procedimientos y especialmente los críticos, lo que permite enfocar los esfuerzos de prevención y recuperación sobre los elementos críticos de la infraestructura. RECURSO HUMANO RECURSO HUMANO OUTSOURCING COMPUTADOR TELEFONO IMPRESORA ESCANER 1 Otorgamiento de becas colombianos en el exterior 2 2 1 SI <= 4 Horas Bizagi C&CETEX Fox-Pro 2 Otorgamiento de becas posgrados para extranjeros en Colombia 1 1 1 > 30 días Bizagi Apoteosys Correo electrónico 3 Cierre de cartera 1 2 1 <= 24 horas C&CETEX Apoteosys Correo electrónico 4 Facturación epoca de estudios, período de gracia y amortización 1 1 <= 24 horas C&CETEX Correo electrónico Office 5 Atención acciones de tutela 3 3 1 SI SI <= 24 horas Mercurio C&CETEX Correo electrónico 6 Expedición del certificado de disponibilidad presupuestal 0 0 0 SI <= 8 horas Apoteosys Correo electrónico Office 7 Análisis contable con sus contrapartidas críticas 1 1 <= 24 horas Apoteosys Correo electrónico 8 Cierre contable mensual 1 1 1 SI <= 24 horas Apoteosys C&CETEX Correo electrónico 9 Consulta de archivo 1 3 1 1 SI <= 8 horas Mercurio SGD V2.0 -MTI Correo electrónico 10 Liquidación de nómina 2 2 1 SI > 30 días Queryx SRH Correo electrónico Office 11 Apoyo logístico 2 2 1 SI <= 48 horas Office Apotesoys Correo electrónico 12 Base de datos 1 1 <= 24 horas Oracle TOAD 13 Soporte Infraestructura 1 6 2 1 <= 48 horas Correo electrónico 14 Aplicación del modelo de referencia de cartera comercial 1 1 <= 24 horas Office Correo electrónico 15 Medición, transmisión y seguimiento del VaR 1 1 <= 24 horas Internet Sevinpro IG Metrica Total Requerimientos 19 11 20 8 PROCEDIMIENTO PRINCIPALES APLICATIVOS REQUERIDOS BIENES MUEBLESRECURSO HUMANO RPONo.
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 122 de 123 En la siguiente tabla se desprende la síntesis de los recursos requeridos en contingencia, clasificados por Calificación BIA, con el fin de dimensionar las necesidades de infraestructura de acuerdo con el apetito al riesgo para el PCN de estos procesos ante un evento de interrupción desde un sitio alterno: Resumen de Infraestructura requerida Dado que se encuentra clasificado por niveles de prioridad de los procedimientos para continuidad, es posible tomar distintas decisiones del alcance del PCN. De acuerdo con el propósito de tener estrategia de continuidad bajo el escenario de Interrupción de Lugar para los 32 procedimientos calificados como críticos (cuyo tiempo objetivo de recuperación comprende de 4 a 48 horas), es necesario operar con: 51 puestos de trabajo para ese mismo número de colaboradores 47 computadores 27 teléfonos 5 impresoras 3 escáneres PUNTO OBJETIVO DE RECUPERACION – RPO El cuestionario BIA midió el tiempo tolerable en que la Entidad está dispuesta a perder de información ante una interrupción en la tecnología de información por fallas. Los resultados arrojados son los siguientes: RECURSO HUMANO RECURSO HUMANO DE OUTSOURCING COMPUTADOR TELEFONO IMPRESORA ESCANER RECURSO HUMANO RECURSO HUMANO DE OUTSOURCING COMPUTADOR TELEFONO IMPRESORA ESCANER N - 1AAA 4 horas Misión crítica 6 7 6 5 1 1 6 7 6 5 1 1 N - 1AA 8 horas Misión crítica 2 0 1 1 0 0 8 7 7 6 1 1 N - 1A 24 horas Masivo / alto 24 3 19 12 2 2 32 10 26 18 3 3 Nivel 2 48 horas Masivo / alto 19 8 21 9 2 0 51 18 47 27 5 3 Nivel 3 7 días Medio 20 681 18 7 0 0 71 699 65 34 5 3 Nivel 4 14 días Medio 10 11 10 4 0 0 81 710 75 38 5 3 Nivel 5 30 días Bajo 12 3 12 2 0 0 93 713 87 40 5 3 Nivel 6 > 30 días Insignificante 14 0 14 3 0 0 107 713 101 43 5 3 107 713 101 43 5 3 TOTALES POR NIVELES DE CALIFICACION BIA NIVEL RECURSO HUMANO BIENES MUEBLES RECURSOS POR NIVELES DE CALIFICACION BIA BIENES MUEBLESRECURSO HUMANO
Código: MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 123 de 123 Los restantes 34 procedimientos fueron evaluados para un RPO mayor a 24 horas. Actualmente el Icetex realiza backups de la información a los aplicativos con una frecuencia de cada 24 horas. Como se aprecia en el cuadro, el Grupo de Trabajo de PCN en un 50% considera adecuado la protección de datos cada 24 horas y en un 25% hasta puede superar la periodicidad de protección de ese tiempo; la diferencia del 25% requiere backup con frecuencia inferior al día. Esta información es significativa para la Entidad para el establecimiento de estrategias y políticas de backup de la información. APLICATIVOS CRITICOS Con la información de los Requerimientos Tecnológicos se logró establecer la criticidad de los aplicativos de acuerdo con el uso en los procedimientos, resultado que permite confirmar la necesidad de mantener una adecuada política de protección de los datos de los aplicativos y su contingencia siendo el resultado el siguiente: 26 Procedimientos requieren que el 7 Procedimientos requieren que el 67 Procedimientos requieren que el RPO <= 4 Horas RPO <= 8 Horas RPO <= 24 Horas 19% 5% 50% Aplicativos implicados Aplicativos implicados Aplicativos implicados C&CETEX MERCURIO C&CETEX APOTEOSYS APOTEOSYS APOTEOSYS MERCURIO MERCURIO BIZAGI MAC PAGINA WEB IG METRICA SEVINPRO REPORTEADOR DECEVAL ORACLE Aplicativo Procedimientos Observaciones PAGINA WEB 12 Durante el período 14/05/2012 - 16/07/2012 se realizaron 2.598.956 visitas a la Página Web del Icetex, efectuada por 1.265.725 usuarios (promedio de 2 visitas por usuario). CORREO ELECTRONICO 102 C&CETEX 56 OFFICE 47 APOTEOSYS 32 INTERNET 25 MERCURIO 12 COBOL 9 IG METRICA 6 BIZAGI 5 UTILIZACION DE LOS APLICATIVOS EN LOS PROCEDIMIENTOS

Más contenido relacionado

PPTX
Continuidad del negocio
porANNY
 
PPT
Iso 22301 sgcn bcms v 2020
porPrimala Sistema de Gestion
 
PPT
Iso 22301 sgcn bcms
porPrimala Sistema de Gestion
 
PDF
Plan de continuidad
porLeonardo Lenin Banegas Barahona
 
PDF
Plan de Continuidad de Negocio
porRamiro Cid
 
PPTX
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
porMelvin Jáquez
 
PPTX
Plan de Continuidad de Negocio (BCP)
porGustavo Specht
 
PDF
Continuidad negocio iso-22301
porMauricio Arenas
 
Continuidad del negocio
porANNY
 
Iso 22301 sgcn bcms v 2020
porPrimala Sistema de Gestion
 
Iso 22301 sgcn bcms
porPrimala Sistema de Gestion
 
Plan de continuidad
porLeonardo Lenin Banegas Barahona
 
Plan de Continuidad de Negocio
porRamiro Cid
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
porMelvin Jáquez
 
Plan de Continuidad de Negocio (BCP)
porGustavo Specht
 
Continuidad negocio iso-22301
porMauricio Arenas
 

La actualidad más candente

PDF
Gestión de Continuidad de Negocio
pord3d s3s
 
PPTX
Tratamiento de riesgo
porAlexander Velasque Rimac
 
PDF
Plan de continuidad de negocio
porAndres Ldño
 
PDF
Plan Continuidad de Negocio
porDavid Ortega
 
PPTX
09 gestion de los riesgos
porRuben Rodriguez
 
PPT
Iso 27001 gestion de riesgos
porPrimala Sistema de Gestion
 
PDF
Gestión de Riesgos en Proyectos según el PMBOK: Lineamientos Generales para s...
porManuel Asmat Córdova MBA, SCPM®, PgMP®, PMP®
 
PDF
Compresión de las necesidades y expectativas de las partes interesadas num...
porJuan Carlos Hoyos Calderón
 
PPTX
Iso 27001
pornavidisey
 
PPTX
TARSecurity : Análisis de Impacto al Negocio (BIA)
porTAR Security
 
PPTX
Presentacion gestión de los riesgos del proyecto
porJuan Paúl Chávez Sierra
 
PPT
Iso 14 sistema integrado de gestion
porPrimala Sistema de Gestion
 
PDF
Documentacion de un SGC
porAlvaro Diaz
 
PPT
ISO 9001 2015 pensamiento basado en riesgos 2018
porPrimala Sistema de Gestion
 
PDF
Monitorear y Controlar los Riesgos
porDharma Consulting
 
PDF
PM-Acta de aceptación de entregables-ALAPSI A.C.
porGonzalo Espinosa
 
PDF
Gestión de riesgos en proyectos
porGuillermo Montero Fdez-Vivancos
 
PDF
Mapa conceptual scrum
porinformatix
 
DOCX
Estructura de desglose de riesgos
porCESAREO BUJ HERNANDEZ
 
PPT
Guía del PMBOK® > Gestión de los Recursos Humanos
porDharma Consulting
 
Gestión de Continuidad de Negocio
pord3d s3s
 
Tratamiento de riesgo
porAlexander Velasque Rimac
 
Plan de continuidad de negocio
porAndres Ldño
 
Plan Continuidad de Negocio
porDavid Ortega
 
09 gestion de los riesgos
porRuben Rodriguez
 
Iso 27001 gestion de riesgos
porPrimala Sistema de Gestion
 
Gestión de Riesgos en Proyectos según el PMBOK: Lineamientos Generales para s...
porManuel Asmat Córdova MBA, SCPM®, PgMP®, PMP®
 
Compresión de las necesidades y expectativas de las partes interesadas num...
porJuan Carlos Hoyos Calderón
 
Iso 27001
pornavidisey
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
porTAR Security
 
Presentacion gestión de los riesgos del proyecto
porJuan Paúl Chávez Sierra
 
Iso 14 sistema integrado de gestion
porPrimala Sistema de Gestion
 
Documentacion de un SGC
porAlvaro Diaz
 
ISO 9001 2015 pensamiento basado en riesgos 2018
porPrimala Sistema de Gestion
 
Monitorear y Controlar los Riesgos
porDharma Consulting
 
PM-Acta de aceptación de entregables-ALAPSI A.C.
porGonzalo Espinosa
 
Gestión de riesgos en proyectos
porGuillermo Montero Fdez-Vivancos
 
Mapa conceptual scrum
porinformatix
 
Estructura de desglose de riesgos
porCESAREO BUJ HERNANDEZ
 
Guía del PMBOK® > Gestión de los Recursos Humanos
porDharma Consulting
 

Similar a Manual continuidad negocio

PPT
Administración Del Riesgo Operacional
porJuan Carlos Fernández
 
PDF
Plan de-contingencias
porUniversidad Militar Nueva Granada-Universidad de Cundinamarca
 
PDF
Plan de Continuidad de Negocios
porCarlos Francavilla
 
PDF
Plan de continuidad
porcyberleon95
 
PDF
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
porFabián Descalzo
 
PDF
ISO 22301 - Ingertec
porGrupo Ingertec
 
PPT
PLANES DE EMERGENCIA Y CONTINGENCIAS EN SALUD
porxarito2708
 
PPT
contingencia.ppt
porHECTOR839056
 
PPT
contingencia.ppt
porjhonJD1
 
PDF
Conferencia1011continuidad
porErnestoVasquez31
 
PDF
SI83_S01_s1_2_Continuidad_Negocio_Basado_DRII.pdf
porLuis Arboleda
 
PPT
Plan De Continuidad
porguestd12397
 
PPTX
Universid..Plan de Continuidad de Negocio - Tarea
porEmy Caceres
 
PDF
UND12_Auditoria de Sistemas. Mi plan B.pdf
porDemsshillCoutino
 
PDF
Plan de continuidad
porYimy Pérez Medina
 
PPTX
conozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptx
porsabalero84
 
PPT
contingencia.pptjhgjgjhjhgghjgjhgjghgjhj
porAdrianAlvarado86
 
PDF
Continuidad de Actividades
porJose Manuel Acosta
 
PPT
Business Continuity Training Course - Introduction
porInstitute for Business Continuity Training
 
PPT
contnegxcccccccccccccccccccccccccccccccccccocio1.ppt
porIsrraVasquezVelasco
 
Administración Del Riesgo Operacional
porJuan Carlos Fernández
 
Plan de-contingencias
porUniversidad Militar Nueva Granada-Universidad de Cundinamarca
 
Plan de Continuidad de Negocios
porCarlos Francavilla
 
Plan de continuidad
porcyberleon95
 
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
porFabián Descalzo
 
ISO 22301 - Ingertec
porGrupo Ingertec
 
PLANES DE EMERGENCIA Y CONTINGENCIAS EN SALUD
porxarito2708
 
contingencia.ppt
porHECTOR839056
 
contingencia.ppt
porjhonJD1
 
Conferencia1011continuidad
porErnestoVasquez31
 
SI83_S01_s1_2_Continuidad_Negocio_Basado_DRII.pdf
porLuis Arboleda
 
Plan De Continuidad
porguestd12397
 
Universid..Plan de Continuidad de Negocio - Tarea
porEmy Caceres
 
UND12_Auditoria de Sistemas. Mi plan B.pdf
porDemsshillCoutino
 
Plan de continuidad
porYimy Pérez Medina
 
conozca-la-importancia-de-un-plan-de-continuidad-de-negocio-para-su-pyme.pptx
porsabalero84
 
contingencia.pptjhgjgjhjhgghjgjhgjghgjhj
porAdrianAlvarado86
 
Continuidad de Actividades
porJose Manuel Acosta
 
Business Continuity Training Course - Introduction
porInstitute for Business Continuity Training
 
contnegxcccccccccccccccccccccccccccccccccccocio1.ppt
porIsrraVasquezVelasco
 

Más de Leonardo Lenin Banegas Barahona

PPTX
2.1 ciclo de vida de las organizaciones
porLeonardo Lenin Banegas Barahona
 
PPTX
1.2 dinamicas organizacionales
porLeonardo Lenin Banegas Barahona
 
PPTX
2.2 el proceso de cambio en las organizaciones
porLeonardo Lenin Banegas Barahona
 
PPT
Botanica.ppt
porLeonardo Lenin Banegas Barahona
 
PPT
6. analisis y evaluación de politicas ambientales
porLeonardo Lenin Banegas Barahona
 
PPTX
Presentacion Fitopatologia Bacterias y Virus Leonardo Banegas.pptx
porLeonardo Lenin Banegas Barahona
 
PPT
5. incidencia en politicas ambientales
porLeonardo Lenin Banegas Barahona
 
PPT
4. introducción al diseño de politicas ambientales
porLeonardo Lenin Banegas Barahona
 
PPT
7. analisis comparado de politicas ambientales
porLeonardo Lenin Banegas Barahona
 
PPTX
Ecologia de Mezozoos Placozoos y Poriferos final.pptx
porLeonardo Lenin Banegas Barahona
 
PDF
Presentacion Algas Briophyta Pteridophyta.pdf
porLeonardo Lenin Banegas Barahona
 
PDF
Presentacion Protozooarios Rodrigo y Leonardo.pdf
porLeonardo Lenin Banegas Barahona
 
PDF
Presentacion Artropodos Rodrigo y Leonardo.pdf
porLeonardo Lenin Banegas Barahona
 
PDF
2012 estudio de sectores productivos y cadenas estrategicas para el desarroll...
porLeonardo Lenin Banegas Barahona
 
PPTX
Presentacion AHCODESS Generica.pptx
porLeonardo Lenin Banegas Barahona
 
PPT
0. presentación del modulo de politicas ambientales
porLeonardo Lenin Banegas Barahona
 
PDF
Diseo estudio de turismo.gf (1)
porLeonardo Lenin Banegas Barahona
 
PDF
Normas para presentar ensayo de analisis de políticas ambientales
porLeonardo Lenin Banegas Barahona
 
PDF
Personeria juridica consultores en desarrollo sostenible
porLeonardo Lenin Banegas Barahona
 
PDF
Docuemntos fiscales cds
porLeonardo Lenin Banegas Barahona
 
2.1 ciclo de vida de las organizaciones
porLeonardo Lenin Banegas Barahona
 
1.2 dinamicas organizacionales
porLeonardo Lenin Banegas Barahona
 
2.2 el proceso de cambio en las organizaciones
porLeonardo Lenin Banegas Barahona
 
Botanica.ppt
porLeonardo Lenin Banegas Barahona
 
6. analisis y evaluación de politicas ambientales
porLeonardo Lenin Banegas Barahona
 
Presentacion Fitopatologia Bacterias y Virus Leonardo Banegas.pptx
porLeonardo Lenin Banegas Barahona
 
5. incidencia en politicas ambientales
porLeonardo Lenin Banegas Barahona
 
4. introducción al diseño de politicas ambientales
porLeonardo Lenin Banegas Barahona
 
7. analisis comparado de politicas ambientales
porLeonardo Lenin Banegas Barahona
 
Ecologia de Mezozoos Placozoos y Poriferos final.pptx
porLeonardo Lenin Banegas Barahona
 
Presentacion Algas Briophyta Pteridophyta.pdf
porLeonardo Lenin Banegas Barahona
 
Presentacion Protozooarios Rodrigo y Leonardo.pdf
porLeonardo Lenin Banegas Barahona
 
Presentacion Artropodos Rodrigo y Leonardo.pdf
porLeonardo Lenin Banegas Barahona
 
2012 estudio de sectores productivos y cadenas estrategicas para el desarroll...
porLeonardo Lenin Banegas Barahona
 
Presentacion AHCODESS Generica.pptx
porLeonardo Lenin Banegas Barahona
 
0. presentación del modulo de politicas ambientales
porLeonardo Lenin Banegas Barahona
 
Diseo estudio de turismo.gf (1)
porLeonardo Lenin Banegas Barahona
 
Normas para presentar ensayo de analisis de políticas ambientales
porLeonardo Lenin Banegas Barahona
 
Personeria juridica consultores en desarrollo sostenible
porLeonardo Lenin Banegas Barahona
 
Docuemntos fiscales cds
porLeonardo Lenin Banegas Barahona
 

Último

PPT
MODULO - 4 - CLASE - 4 - SEGURIDAD DIGITAL EN LA EDUCACION-COPIA.ppt
porOscarRodrguez943873
 
PDF
Propuesta_Cursos_IA_Aplicada_IIAA 2026 SIRIUS IA
porRamiro Aduviri Velasco
 
PDF
La-normalizacion-del-endeudamiento-juvenil-en-la-publicidad-de-servicios-fina...
porAlberto Soto
 
PDF
Habilidades Blandas a la Vena - David Fischman Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Tarea N°1: vocabulario ilustrativo de los conceptos básicos de las computadoras
pornathalymartinez1892
 
PDF
Probabilidad y Estadistica para Ingenieria y Ciencias Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Tutorial para obtener el número de IMSS para alumnos de CUValles - 2026A
porveganet
 
PDF
Una Inspiracion-para cada dia de el Monje que-vendio su Ferrari Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Como ganar Amigos e influir sobre las Personas - Dale Carnegie V2 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Didáctica de las Matemáticas - Roanes Macías Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Como Lideran los Mejores Lideres - Brian Tracy Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Como ganar amigos e influir en las personas - Dale Carnegie Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Enseñar a Investigar - Ricardo Sanchez Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Bajo este sol tremendo de Carlos Busqued
porYanina Gallardo
 
PDF
Conflicto en las Aulas - Propuestas Educativas Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
La Innovacion en Educacion - Tricot Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Inteligencia Artificial El Nuevo Cerebro Electronico Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Libro de Actas de la Alianza de Paisajes Culturales 2022
porAlianza de Paisajes Culturales Patrimonio Mundial
 
PDF
Escoger adecuada asesoría en tesis y proyectos (Hace Tesis)
porHacetesis
 
PDF
Inecuaciones Lineales y Cuadraticas X2 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
MODULO - 4 - CLASE - 4 - SEGURIDAD DIGITAL EN LA EDUCACION-COPIA.ppt
porOscarRodrguez943873
 
Propuesta_Cursos_IA_Aplicada_IIAA 2026 SIRIUS IA
porRamiro Aduviri Velasco
 
La-normalizacion-del-endeudamiento-juvenil-en-la-publicidad-de-servicios-fina...
porAlberto Soto
 
Habilidades Blandas a la Vena - David Fischman Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Tarea N°1: vocabulario ilustrativo de los conceptos básicos de las computadoras
pornathalymartinez1892
 
Probabilidad y Estadistica para Ingenieria y Ciencias Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Tutorial para obtener el número de IMSS para alumnos de CUValles - 2026A
porveganet
 
Una Inspiracion-para cada dia de el Monje que-vendio su Ferrari Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Como ganar Amigos e influir sobre las Personas - Dale Carnegie V2 Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Didáctica de las Matemáticas - Roanes Macías Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Como Lideran los Mejores Lideres - Brian Tracy Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Como ganar amigos e influir en las personas - Dale Carnegie Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Enseñar a Investigar - Ricardo Sanchez Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Bajo este sol tremendo de Carlos Busqued
porYanina Gallardo
 
Conflicto en las Aulas - Propuestas Educativas Ccesa007.pdf
porDemetrio Ccesa Rayme
 
La Innovacion en Educacion - Tricot Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Inteligencia Artificial El Nuevo Cerebro Electronico Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Libro de Actas de la Alianza de Paisajes Culturales 2022
porAlianza de Paisajes Culturales Patrimonio Mundial
 
Escoger adecuada asesoría en tesis y proyectos (Hace Tesis)
porHacetesis
 
Inecuaciones Lineales y Cuadraticas X2 Ccesa007.pdf
porDemetrio Ccesa Rayme
 

Manual continuidad negocio

  • 1.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 1 de 123 MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Mayo de 2013
  • 2.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 2 de 123 Contenido 1 INTRODUCCION 4 2 OBJETIVOS 4 2.1 OBJETIVO GENERAL 4 2.2 OBJETIVOS ESPECIFICOS 4 3 ALCANCE 5 4 CONCEPTOS BASICOS 5 5 CAUSAS DE INTERRUPCION 7 6 GOBIERNO DE CONTINUIDAD 8 6.1 LINEAMIENTOS 8 6.2 NORMAS EXTERNAS 9 6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10 6.3.1 COMITE SARO - SARLAFT 10 6.3.2 LIDERES PCN 14 6.3.3 OFICINA DE RIESGOS 15 6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15 6.5 ENTRENAMIENTO 15 7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17 7.1 FASE DE PREVENCION 17 7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 17 7.1.2 ETAPA DE ANALISIS DE RIESGOS 23 7.1.3 ETAPA DE ESTRATEGIA 30 7.1.4 ETAPA DE PRUEBAS 34 7.1.5 ETAPA DE MANTENIMIENTO 37 7.2 FASE DE ADMINISTRACION DE CRISIS 38 7.2.1 CONCEPTO 38 7.2.2 OBJETIVOS 38
  • 3.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 3 de 123 7.2.3 ALCANCE 38 8 ANEXOS 39 8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39 8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51 8.3 ANEXOS DE PROCEDIMIENTOS 93 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 93 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 95 8.4 ANEXOS DE TABLAS 98 8.4.1 TIPOS DE AMENAZA 98 8.4.2 TIPOS DE VULNERABILIDADES 99 8.4.3 CRITERIOS DE FRECUENCIA 100 8.4.4 CRITERIOS DE IMPACTO 101 8.5 ANEXOS FORMATOS 102 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 102 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 106 8.5.3 CASCADA TELEFONICA 107 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 109 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 116 8.6 ANEXOS RESULTADOS 117 8.6.1 EQUIPO DE TRABAJO DEL PCN 117 117 8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA 118
  • 4.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 4 de 123 1 INTRODUCCION El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el menor tiempo posible, garantizando la continuidad del instituto. La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa, para responder organizadamente a eventos que interrumpen la normal operación de sus procesos y que pueden generar impactos sensibles en el logro de los objetivos. El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. 2 OBJETIVOS 2.1 OBJETIVO GENERAL Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la atención de clientes y la operación. 2.2 OBJETIVOS ESPECIFICOS  Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena administración de la crisis.  Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio.  Asegurar una pronta restauración de las operaciones afectadas por el evento.  Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.
  • 5.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 5 de 123  Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera de Colombia. 3 ALCANCE La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la organización para poder continuar operando durante un incidente o desastre, a través de la implementación de un plan de continuidad, el cual contempla los lineamientos de administración de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad. De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de crisis y los demás sistemas de gestión. 4 CONCEPTOS BASICOS Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la organización, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad del negocio. Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo. Abarca las personas, procesos de negocios, tecnología e infraestructura. Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el cual puede causar interrupción o reducción en la calidad del servicio y en la productividad. Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un incidente o un desastre. Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.
  • 6.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 6 de 123 Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción1 . Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del negocio. Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, igual que los recursos necesarios para su uso2 . Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos. Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre otros. Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias vulnerabilidades con impactos adversos resultantes para la Entidad. Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la naturaleza de la vulnerabilidad. Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación 1 Concepto tomado del Capítulo XXIII – Reglas relativas a la administración del riesgo operativo – de la Circular Básica Contable de la Superfinanciera. 2 Concepto tomado del Capítulo XII – Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica Jurídica de la Superfinanciera.
  • 7.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 7 de 123 física a personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad: Confiabilidad, disponibilidad y recuperabilidad. Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el riesgo o potenciar oportunidades positivas. Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin controles. Riesgo residual: Riesgo remanente tras la aplicación de controles. 5 CAUSAS DE INTERRUPCION Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios:  Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.  No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso crítico se debe contar con un sitio alterno de trabajo, el cual puede ser: • Suministrado por la Entidad, Ejemplo: Otra sede. • Suministrado por un proveedor, contratista o aliado estratégico.  Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano.  No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado, adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el Icetex.
  • 8.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 8 de 123 6 GOBIERNO DE CONTINUIDAD 6.1 LINEAMIENTOS El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su impacto sobre el negocio. Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:  El plan de continuidad de negocio está orientado a la protección de las personas, así como al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre.  Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos definidos y conocer claramente los roles y responsabilidades que le competen en el marco de la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de los Planes de Contingencia del Negocio.  En caso de presentarse un incidente significativo se deben aplicar los mecanismos de comunicación apropiados, tanto internos como externos, de acuerdo con el manual de Comunicación en Situaciones de Crisis.  Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de la Entidad, con la guía y coordinación de la Oficina de Riesgos.  Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios para el área que representa.  Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la siguiente frecuencia: o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus necesidades.
  • 9.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 9 de 123 o El monitoreo a los riesgos de continuidad se efectuará de manera semestral. o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas. o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de contingencia.  Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en los Planes de Continuidad del Negocio.  La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación de Tolerable.  Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan.  Los planes de contingencia deben mantenerse actualizados, para lo cual se deben desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen las áreas involucradas. 6.2 NORMAS EXTERNAS La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un Plan de Continuidad de Negocios, que cumplan con los siguientes elementos:  Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal.  Circular 038/2009 – Sistema de Control Interno: Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad para responder a las fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la normalidad.
  • 10.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 10 de 123  Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas. Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este documento. 6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO Para asegurar una adecuada administración de la continuidad del negocio se estableció un estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de Proceso, como de la Alta Gerencia. Esa administración está conformada por: 6.3.1COMITE SARO - SARLAFT La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO – SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es responsable de administrar la continuidad de la operación del Instituto. A continuación se mencionan los integrantes del comité, su rol y responsabilidad frente a este item: COMITÉ SARO – SARLAFT ROLES DE CONTINGENCIA Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad Jefe de Riesgos Director Alterno de Continuidad Secretaria General Líder de Administración /Recuperación Infraestructura Física Director de Tecnología Líder de Recuperación Tecnológica Vicepresidente Financiero Coordinadores de Recuperación Vicepresidente de Crédito y Cobranza Vicepresidente de Fondos en Administración Jefe de Control Interno Tareas de apoyo, control y cumplimiento Jefe Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Jefe oficina Asesora de Comunicaciones (Su participación será por solicitud del Comité SARO-SARLAFT) Asesor de Comunicaciones Roles de Miembros de Comité SARO - SARLAFT
  • 11.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 11 de 123 En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de Comunicaciones. A) ROLES Y RESPONSABILIDADES A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus suplentes (alternos) tienen las mismas responsabilidades. Director de Continuidad El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO- SARLAFT o en situaciones donde amerite realizar su activación inmediata. Responsabilidades  Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de actualizar, mantener y probar el plan de continuidad.  Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de recuperación y contingencia de la entidad.  Liderar las reuniones del Comité SARO – SARLAFT.  Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la entidad y que ponen al descubierto debilidades del plan de continuidad.  Monitorear los reportes sobre el estado de recuperación o evaluación durante una contingencia.  Velar por la seguridad del personal que actúa en el área del evento.  Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario de interrupción de lugar teniendo en cuenta el resultado de la evaluación  Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la contingencia. Director Alterno de Continuidad  Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste no se encuentre disponible.
  • 12.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 12 de 123  Es responsable de declarar la contingencia ante un incidente tecnológico de algún aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de Tecnología.  Realizar las actividades que le sean asignadas por el Director de Continuidad. Líder Administrativo El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la operación. Responsabilidades  Coordinar el suministro de elementos esenciales como transporte, recursos de infraestructura y papelería.  Gestionar la consecución y adecuación de los centros alternos de operaciones según el plan de operaciones en contingencia.  Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros. Líder de Recuperación Tecnológica Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de continuidad implementadas. Es el contacto directo entre la Dirección de Tecnología y el Comité SARO - SARLAFT; además, apoya las decisiones tomadas por el Director de Continuidad durante la declaración y activación de la contingencia. Responsabilidades  Liderar la recuperación tecnológica, basados en las estrategias de continuidad implementadas.  Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la operación normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad.  Mantener comunicación constante entre Coordinadores de Recuperación del Negocio durante el estado de contingencia.  Colaborar en la comunicación a los proveedores de los temas o servicios de su competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.  Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la recuperación.
  • 13.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 13 de 123  Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y responsabilidades, disponibilidad de los recursos, entre otros.  Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en las mismas.  Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Coordinadores de Recuperación Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de procesos de negocio críticos, basados en las estrategias de contingencia. Son el contacto directo entre los procesos de negocio y el Comité SARO-SARLAFT; además, colaboran con las decisiones tomadas por el Director de Continuidad y el Comité SARO-SARLFT durante la declaración y activación de la contingencia. Responsabilidades  Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las interrupciones que están afectando la prestación del servicio.  Ejecutar los planes de contingencia ante el incidente presentado.  Identificar los posibles riesgos que afectan la continuidad de la operación normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad.  Mantener comunicación constante durante el estado de contingencia.  Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.  Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la recuperación de sus áreas.  Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en la misma.  Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Responsable de tareas de apoyo, control y cumplimiento Responsabilidades  Realizar las actividades que le sean asignadas durante la declaración de contingencia.  Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la funcionalidad del plan.
  • 14.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 14 de 123 Asesor de Comunicaciones El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel externo (clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual de gestión de la comunicación en situaciones de crisis. Responsabilidades  Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en temas de comunicación en momentos de crisis. B) LINEA DE SUCESION Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. CARGO PRINCIPAL CARGO ALTERNO Presidente del Icetex o su delegado, quien presidirá el Comité Jefe de Riesgos Jefe de Riesgos Director de Tecnología Secretaria General Asesor Técnico de Secretaria General Director de Tecnología Coordinador de Infraestructura Vicepresidente Financiero Director de Contabilidad Vicepresidente de Crédito y Cobranza Director de Cobranzas Vicepresidente de Fondos en Administración Analista de Vicepresidente de Fondos en Administración Jefe de Control Interno Coordinador de la Oficina de Control Interno Jefe Oficina Asesora Jurídica Analista de Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Coordinador de Riesgos de Crédito y Operativo Analista de Plan de Continuidad de Negocios Línea de sucesión 6.3.2 LIDERES PCN Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la administración del plan de continuidad sobre los procesos / procedimientos a cargo:  Actuar como punto focal del área para todos los asuntos de continuidad del negocio.  Cumplir con las actividades y fechas establecidas del Cronograma de PCN.  Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de contingencia que les compete.  Asegurar la aplicación correcta de los PCN al interior del área.
  • 15.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 15 de 123  Revisar el impacto en el área durante el incidente.  Mantener actualizados los documentos de PCN del área (BIA, Estrategia de Recuperación, Cascada telefónica, Análisis de Riesgos. etc). En el Anexo No. 8.6.1 se encuentra la Relación de los Líderes de PCN y Líderes de Proceso del Icetex. 6.3.3 OFICINA DE RIESGOS La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad:  Definir e implementar los instrumentos, metodologías y procedimientos tendientes a gestionar efectivamente el PCN.  Suministrar los programas de capacitación de PCN.  Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área.  Guiar en el desarrollo de las diferentes etapas del PCN. 6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO La Administración del Plan de continuidad del Negocio está conformada por los siguientes elementos:  Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no disponibilidad del sitio normal de trabajo y no contar con los proveedores críticos del negocio.  Planes de Recuperación de Desastres – DRP, el cual contempla las diferentes estrategias definidas para la recuperación de los sistemas.  Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio 6.5 ENTRENAMIENTO En el éxito del Plan de Continuidad es fundamental contar con la participación y el compromiso del personal involucrado en el mismo. La administración de continuidad debe asegurar que todos los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que serán los encargados de ponerlos en funcionamiento en caso de presentarse un evento no
  • 16.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 16 de 123 deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los responsables de la correcta ejecución de los planes. La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo el personal a través de la Secretaria General Grupo de Talento Humano. Dentro de la política de capacitación se contempla suministrar a todos los funcionarios capacitación anual de Plan de Continuidad de Negocios a través de la herramienta e-Learning, así como en el proceso de inducción.
  • 17.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 17 de 123 7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son: 7.1 FASE DE PREVENCION En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto. Está conformada por las siguientes etapas: 7.1.1ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA A) CONCEPTO El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad puede tolerar en caso de un incidente o desastre.
  • 18.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 18 de 123 B) OBJETIVO El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperación de Negocios, es la guía que determina qué necesita ser recuperado y el tiempo requerido para recuperación. C) ALCANCE A través del desarrollo del BIA se obtiene la siguiente información:  Evaluación de los procedimientos, donde se establece cuáles son primordiales para la continuidad de la Entidad.  Determinación de los impactos de una interrupción y cuando empiezan.  Priorización y establecimiento del período de tiempo en el que los sistemas, aplicaciones y funciones deben ser recuperados después de una interrupción (RTO).  Determinación del orden de recuperación.  Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una interrupción en los sistemas de información (RPO).  Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel de: Tecnología, personal, infraestructura y soporte proveedores. D) FASES DEL BIA Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir con los siguientes pasos: i. PLANEACION Contempla los aspectos para el correcto y completo desarrollo del BIA, como son: Identificación Procesos y Procedimientos: Obtener la relación de los procesos y procedimientos para realizar la Evaluación BIA. Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.
  • 19.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 19 de 123 ii. METODOLOGIA BIA Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación. Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica de la Entidad. La metodología establece el diligenciamiento del “Documento BIA” (ver anexo No. 8.5.1), el cual es aplicado para cada una de los procedimientos que se realizan en la Entidad, utilizando el mismo patrón de calificación. A continuación se detalla el “Documento BIA” diseñado en la herramienta Excel: CUESTIONARIO DE EVALUACION BIA Permite analizar los impactos que puede causar el no ejecutar un procedimiento por encontrarse ante un incidente o desastre. Los impactos contemplados son:  Regulatorio/ Legal: Incluye pérdidas por no presentar reportes financieros o de impuestos en las fechas indicadas, demandas o penalizaciones al incumplir requerimientos obligatorios en las actividades de la Entidad.  Financiero: Incluye pérdida de ingresos, pérdida de intereses, costos de pedir dinero prestado para hacer caja, pérdida de ingresos por préstamos no realizados, penalizaciones por no cumplir compromisos contractuales o niveles de servicio y pérdidas de oportunidades durante el tiempo inoperante.  Reputacional: Incluye la pérdida de confianza por parte de los clientes, del mercado y de los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el servicio, apariciones en las noticias por quejas de los clientes y pérdida de reputación.  Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y oportuna atención a las necesidades de los usuarios.  Operativo: Incluye la suspensión de la operación y los reprocesos que ello puede ocasionar. Para responder las preguntas se debe tener en cuenta la tabla del numeral 8.4.4 de este documento denominada “Criterios del Impacto”. La escala de valoración del impacto es la siguiente: Legal Económico Servicio al Cliente Reputacional Procesos 20 20 40 15 5
  • 20.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 20 de 123 Escala de Valoración del Impacto El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los clientes por dejar de realizar el procedimiento ante una interrupción. Adicional, existe la pregunta referente a sí el procedimiento analizado proporciona información crítica para cualquier otro procedimiento, con el fin de determinar interdependencias. Como resultado de la evaluación se genera las siguientes valoraciones:  Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados por no ejecutarse el procedimiento. Esto se deriva a través de la realización del cuestionario BIA.  Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto significativo.  Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento de prioridades de recuperación durante una situación difícil. La tabla de valoración establecida es la siguiente: Tabla de valoración del BIA Esta información será el punto de partida para desarrollar las estrategias de recuperación. Calificación BIA Tiempo Objetivo de Recuperación (RTO) Valor del BIA N - 1AAA 4 Horas Misión Critica N - 1AA 8 Horas Misión Critica N - 1A 24 Horas Masivo Nivel 2 48 Horas Masivo Nivel 3 7 días Medio Nivel 4 14 días Medio Nivel 5 30 días Bajo Nivel 6 > 30 días Insignificante Tabla Valoración del BIA
  • 21.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 21 de 123 Determinación del Punto de Recuperación Objetivo de la información – RPO: El parámetro de Punto de Recuperación Objetivo de la Información determina la periodicidad con la que deben salvaguardarse los datos de los procesos del negocio; cuánto más pequeño sea el RPO más sólido debe ser el mecanismo de protección de datos (backup, replicación online, etc). El cuestionario de Evaluación BIA contiene la pregunta dirigida a establecer el Punto Objetivo de Recuperación (RPO) por procedimiento, la cual permite establecer el apetito de riesgo de pérdida de información ante un incidente tecnológico. Los parámetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que utilice la Entidad. Requerimientos Infraestructura: El análisis de los procedimientos está acompañado de la identificación de los requerimientos de personal, recursos y facilidades necesarias para su operación ante un evento de contingencia. Para ello, se tiene dispuesto la hoja de Cálculo “Requerimientos Tecnológicos” del documento BIA, donde el Líder de PCN diligencia la información referente a:  Número de colaboradores de tiempo completo para ejecutar el proceso.  Recurso humano requerido en contingencia.  Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se determina la criticidad de los aplicativos del Icetex.  Elementos logísticos como son: teléfono, impresora, escáner etc.  Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta compartida del área.
  • 22.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 22 de 123 Información de Proveedores Externos: El BIA identifica la relación del procedimiento con proveedores externos y en la hoja de cálculo denominada “Información Proveedores” del “Documento BIA” se mencionan los proveedores críticos. APROBACION DE LA EVALUACION Cada procedimiento evaluado por la metodología BIA es revisado, analizado y aprobado por el Líder del Proceso y como evidencia se genera el documento “Resultados del Análisis de Impacto de Negocio (BIA)”, el cual es firmado por el Líder de Proceso y Líder de PCN del área. iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben ser informados al Comité SARO – SARLAFT:  Número de procesos y procedimientos evaluados.  Clasificación de los procedimientos por calificación BIA.  Establecimiento de los procedimientos críticos de la Entidad, de acuerdo con la calificación BIA.  Cantidad de recursos humanos requeridos en contingencia: Número de personas que apoyan la contingencia ante una interrupción de las operaciones.  Recursos de Bienes Muebles clasificado por calificación BIA: Se establecen los bienes muebles necesarios en la contingencia, como son: Computadores, teléfonos, escáneres, impresoras y otros elementos necesarios en contingencia.  Dependencia de los proveedores externos en los procesos prioritarios: Definir los proveedores críticos con el fin de involucrarlos en la estrategia de PCN.  Recursos Tecnológicos: Es necesario suministrar la información de:  Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada procedimiento, con el fin de contar con la información necesaria para el alistamiento de los computadores que se disponen como contingencia en el escenario de Interrupción de Lugar. Adicionalmente, esta es la fuente para establecer el orden de criticidad de los aplicativos.  El punto objetivo de recuperación (RPO): Con el fin de establecer las estrategias de backup adecuadas para garantizar que en caso de caída y daño de los data files en una base de datos, se restaure la información con el mínimo de pérdida. En el Anexo No.8.6.2 describe el resultado de la última Evaluación del BIA.
  • 23.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 23 de 123 7.1.2ETAPA DE ANALISIS DE RIESGOS En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas, sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la Entidad, con el fin de medir el nivel del riesgo. A) OBJETIVOS La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de desastre o una interrupción significativa en los servicios. B) METODOLOGIA DE ANALISIS DE RIESGO A continuación se detalla la Metodología de Análisis de Riesgos, la cual cubre los aspectos relacionados a continuación:  Identificación de riesgos de continuidad  Cálculo del riesgo inherente  Evaluación de controles  Cálculo del riesgo residual  Tratamiento del riesgo residual IDENTIFICACION DEL RIESGO El Líder de PCN de cada Área en conjunto con el Analista encargado de la Oficina de Riesgos procede de la siguiente manera: 1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de Análisis de Impacto del Negocio (BIA). 2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA). 3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para ello, es necesario tomar como guía el anexo No. 8.4.1 denominado “Tipos de Amenazas”, donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si tales situaciones pueden darse en el proceso analizado.
  • 24.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 24 de 123 4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada. Para identificarla es necesario responder esta pregunta: ¿Cómo puede ocurrir una amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro del Instituto puede darse esa circunstancia. Se recomienda utilizar como guía con el anexo No. 8.4.2 denominado “Tabla de Vulnerabilidades”, donde se encuentra una relación de debilidades que podrían llegar a generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía pudiendo incluirse muchas otras situaciones de debilidades. 5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad. 6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo con la tabla 8.4.2:  Personas  Infraestructura física  Infraestructura de tecnología de información  Procesos CALCULO DEL RIESGO INHERENTE El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los numerales 8.4.3 “Criterios de Frecuencia” y 8.4.4 “Criterios de Impacto”, las cuales contienen los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar la evaluación.  Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la siguiente escala de medición: Escala de medición 1 2 3 4 5 Muy baja Baja Moderada Alta Muy alta Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en las diferentes vulnerabilidades que conforman el riesgo.  Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de afectación sobre los siguientes factores de influencia:
  • 25.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 25 de 123 Impactos Regulatorio/ Legal Financiero Servicio al cliente Reputacional Operativo Humano Infraestructura Para establecer el resultado del impacto para cada riesgo se toma la calificación del cuestionario BIA. Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente máximo es 25 y el mínimo es 1. EVALUACION DE LOS CONTROLES Este proceso permite evaluar todos los controles asociados a las vulnerabilidades identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de control para poder dar un adecuado tratamiento al riesgo. Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100. El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables:  Control no documentado, no aporta valor al total del criterio.  Control documentado, aporta al total del criterio una calificación de 8 puntos.  Control aprobado, aporta al total del criterio una calificación de 8 puntos.  Control divulgado, aporta al total del criterio una calificación de 4 puntos, para un total de 20 puntos. El segundo criterio es la Aplicación, el cual aporta un total de 30 puntos, siendo necesario seleccionar una de las tres (3) opciones, así:  El control nunca se aplica, no aporta valor al total del criterio.  Se aplica a discreción, arroja una calificación de 10.  Se aplica siempre, tiene una calificación de 30. Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:
  • 26.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 26 de 123  Comprobada la efectividad, donde se debe contar con la evidencia física que dada la aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es de 50 puntos.  Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en cuanto a la efectividad del control es positiva. La calificación es de 30 puntos.  Percepción negativa, donde la percepción del experto es negativa en cuanto a la efectividad del control. La calificación es de 10 puntos.  Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo para la prevención y detección de riesgos, dándole una calificación 0 puntos. La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente tabla: Calificación del Control Los controles se clasifican en:  Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con que ocurren las causas del riesgo.  Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen acciones sobre tales detecciones.  Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los eventos que ponen en riesgo el logro de los objetivos del proceso. Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto. CUADRANTES A DISMINUIR EN LA FRECUENCIA CUADRANTES A DISMINUIR EN EL IMPACTO Entre 0 - 50 0 0 Entre 51 - 75 1 1 Entre 76 - 100 2 2 DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA A LOS RIESGOS RANGO DE CALIFICACION DE LOS CONTROLES
  • 27.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 27 de 123 CALCULO DEL RIESGO RESIDUAL Luego de la valoración de los controles se identifica el efecto de mitigación en frecuencia e impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo residual, así:  Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla “Calificación del Control”, estableciendo el efecto de mitigación que indica la columna “Cuadrantes a disminuir en la frecuencia”. Este valor se resta a la frecuencia obtenida en riesgo inherente.  De igual manera se procede con los controles dispuestos para disminuir el impacto del riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla “Calificación del Control”, estableciendo el efecto de mitigación que indica la columna “Cuadrantes a disminuir en el impacto”. Este valor se resta al impacto obtenido en riesgo inherente.  Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los controles, obteniendo así el Riesgo Residual.  El Riesgo Residual se ubica en la siguiente Escala de Clasificación del Riesgo: Rango de calificación de controles Frecuencia Cuadrante a disminuir en la Frecuencia Valor Frecuencia Residual 80 puntos 4 2 2 Calificación control sobre Impacto Impacto Efecto mitigación Valor Impacto Residual 60 puntos 3 1 2 NIVEL CLASIFICACIÓN 0-3 Aceptable 4-6 Tolerable 7-15 Grave 16-25 Critico Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual 4 3 12 2 2 4
  • 28.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 28 de 123  Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles: TRATAMIENTO DEL RIESGO RESIDUAL A partir de la evaluación y análisis de los riesgos, se priorizan de mayor a menor “criticidad”, a fin de tomar decisiones de cómo actuar sobre los mismos. Esta metodología pretende actuar sobre los riesgos que estén fuera del rango de aceptabilidad. El tratamiento del riesgo residual debe ir orientado a cualquiera de las siguientes opciones:  Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión administrativa.  Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o minimizar la severidad de su impacto.  Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares, procesos o personas.  Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros, Subcontrataciones. 0 1 2 3 4 5 0 1 2 3 4 5 FRECIUENCIA IMPACTO
  • 29.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 29 de 123  Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son atractivos en relación con los riesgos involucrados. Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad a través de la creación de nuevos controles o la implementación de modificaciones a los controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones respectivas para su tratamiento y mitigación. Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de realizar la respectiva reclasificación y acordar acciones. C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se requieren para la continuidad del negocio. El Líder de PCN efectúa seguimiento permanente sobre la implementación de los planes de acción y la verificación de la efectividad de los controles y a la vez identificando nuevos riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Líder de PCN de cada una de las áreas con apoyo del Funcionario Responsable en la Oficina de Riesgos y éste es aprobado por el Líder del Proceso. Este monitoreo se realiza en la Matriz de Riesgo de PCN. Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al riesgo fijado por la Entidad. D) REPORTE DE INCIDENTES DE CONTINUIDAD Los incidentes que afecten la continuidad de la operación deben ser reportados por los Líderes de PCN a la Oficina de Riesgos, a través del formato “Reportes de Incidentes de Contingencia” (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la ocurrencia del hecho.
  • 30.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 30 de 123 7.1.3ETAPA DE ESTRATEGIA A) CONCEPTO Corresponden a las acciones que se deben tomar con el objetivo de restablecer las operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o falla en los procesos o funciones críticas. Es necesario identificar las diferentes estrategias de continuidad y seleccionar las más adecuada para la institución, para lo cual el Líder de PCN de cada área junto con el Profesional del tema en la oficina de Riesgos analizarán las variables de:  La criticidad del proceso a proteger  El costo de la estrategia  El tiempo de recuperación objetivo (RTO) B) OBJETIVOS  Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible, con un aceptable nivel de servicio.  Garantizar que los Empleados:  Estén protegidos  Comprenden su papel  Saben a dónde ir  Saben qué hacer  Saben qué recursos necesitan  Entienden la secuencia de las tareas críticas  Ayudar a planificar la recuperación y reanudación de las operaciones.  Validar asuntos de recuperación de la Entidad, como:  Necesidades de telecomunicaciones durante y después del desastre.  Lugar alterno para continuidad/recuperación y reanudación. C) ALCANCE La selección de los métodos alternativos de operación que deben ser utilizados ante una interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.
  • 31.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 31 de 123 Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son:  Ausencia de personal  Sitio alterno  Fallas tecnológicas D) ESTRATEGIAS POR AUSENCIA DE PERSONAL Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación:  El colaborador ausente activa la Cascada Telefónica y se comunica con el Jefe inmediato.  El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por “Ausencia de Personal”. Distribuye procesos claves o asigna funciones al colaborador Back - up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de información.  El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos. El documento denominado Cascada Telefónica cuenta con la información básica de los colaboradores y proveedores con el ánimo de utilizarlos en un evento de contingencia, como es: Funcionarios: Mantener la información de los colaboradores permite comunicarse con ellos en el evento que se encuentren fuera de las instalaciones. Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la información de contacto. Cada área cuenta con la información de “Cascada Telefónica”, la cual está conformada por:  Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de teléfono personal y sí fue definido como personal crítico para operar la contingencia o no. Se encuentran descritos en el orden que serán llamados ante un evento.
  • 32.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 32 de 123  Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán en la contingencia por cada procedimiento.  Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor, nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto personal, teléfono de la oficina y móvil y correo electrónico. En el numeral 8.5.3 se encuentra el formato de Cascada Telefónica. La información de Cascada Telefónica de cada área la conserva el Líder de PCN y la consolidación de la misma reposa en la Oficina de Riesgos. E) ESTRATEGIA DE SITIO ALTERNO La alternativa de traslado del personal se presenta en el evento que los funcionarios no puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de contingencia permitiendo la continuidad de las operaciones de los procesos críticos del Icetex desde un sitio alterno de operación. Las alternativas podrán ser usadas simultáneamente dependiendo de la disponibilidad del proveedor en el momento de la interrupción del Icetex, además depende de la activación y numero de procesos que se activen según el evento y el día en que se presente. El numeral 8.3.1 “Procedimiento de Estrategia de Sitio Alterno”, aporta las actividades que se deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones alterno. F) ESTRATEGIA TECNOLOGICA La contingencia se presenta cuando el hardware y/o software presenta fallas, o por interrupción prolongada de telecomunicaciones. La Dirección de Tecnología tiene estructurado el siguiente Plan de Continuidad para los aplicativos e infraestructura de la Entidad:
  • 33.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 33 de 123 Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos), como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen. El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este documento. Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por problemas en los sistemas, descrito en el numeral 8.3.2. G) ESTRATEGIA CONTINGENCIA MANUAL Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que permitan operar sin un sistema base. Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias manuales que se disponen en el numeral 8.2 de este documento. Red Centro Computo Servidor  Switches  Centro cableado  HUB  Firewall  C&CTEX  Apoteosys  Mercurio  Cobol  Bizagi  Sevimpro  Correo Electrónico APLICATIVOS  RED LAN  RED WAN Telecomunicaciones  ETB  Routers  Enlaces  Aire acondicionado  Sistema de incendio  Sistema eléctrico  UPS  Base de datos  Sistema operativo – Software base de datos  Servidor  Hardware INFRAESTRUCTURA
  • 34.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 34 de 123 7.1.4ETAPA DE PRUEBAS A) CONCEPTO Consiste en probar la efectividad de las estrategias diseñadas y permitir el continuo mejoramiento del PCN de la Entidad. Esta etapa le da a la Institución la oportunidad de identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser atendidas, preparando el negocio para la emergencia real. B) OBJETIVOS  Practicar los procedimientos ante un incidente o desastre.  Identificar áreas que necesitan mejora.  Permitir al PCN permanecer activo, actualizado, entendible y usable.  Demostrar la habilidad de recuperación. C) ALCANCE DE LAS PRUEBAS Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación normal sean mínimas y deben comprender los elementos críticos y simular condiciones de proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir las siguientes tareas:  Verificar la totalidad y precisión del Plan.  Evaluar el desempeño del personal involucrado.  Evaluar la coordinación entre los miembros del grupo de contingencia, proveedores y otros terceros.  Identificar la capacidad de recuperar registros e información vital.  Medir el desempeño de los sistemas operativos y computacionales. Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados, planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.
  • 35.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 35 de 123 D) TIPO DE PTUEBAS En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las pruebas del plan de continuidad de negocio del Icetex: E) PLAN DE PRUEBAS Para la realización de una Prueba de Estrategia de Continuidad es necesario diligenciar el documento “Plan de Pruebas” (ver anexo No. 8.5.4), conformado por los siguientes pasos:  Guion de pruebas: Es el documento mediante el cual se plasma la intención de efectuar la revisión de la estrategia de continuidad estimada para el proceso o servicio determinado, donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de interrupción, los resultados esperados, los integrantes de las pruebas y los riesgos asociados a la ejecución de la prueba. Este documento debe desarrollarlo previo a la ejecución de la prueba el Líder de PCN responsable del proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.  Paso a paso de la planeación: Este documento relaciona las actividades a efectuar durante la prueba, indicando además los responsables de realizar tales actividades así como los recursos mínimos necesarios y los tiempos de su realización, para la estimación completa TIPO DE PRUEBA TECNICA UTILIZADA OPERACIÓN Integrada  Creación de un escenario  Seguimiento en vivo de todas las estrategias re recuperación  Con previo aviso.  Apoyo de los proveedores de recuperación Prueba integrada con todos los elementos que hacen parte del plan de contingencia. Componentes  Creación de un escenario  Seguimiento de las estrategias de recuperación  Con previo aviso. Se ejecutan las estrategias y procedimientos de recuperación de cada uno de los componentes de la infraestructura tecnológica. Escritorio  Con previo aviso.  Creación de un escenario. Se realiza un ejercicio de papel de un escenario de desastre que toma lugar en un salón de conferencia. Prueba Integrada Pruebas Componentes Pruebas de Escritorio
  • 36.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 36 de 123 del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son necesarios para la adecuada realización de la prueba. Al igual que en el anterior ítem, este informe debe ser adelantado previo a la ejecución de la prueba por el Líder de PCN responsable del proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.  Paso a paso de la ejecución: Este documento contiene las actividades realizadas en el desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se presenten algún incidente dentro de la prueba. Adicionalmente, se describen los recursos mínimos necesarios, los responsables y los tiempos de ejecución de las actividades. Este informe es elaborado en el momento de la prueba por el Líder de PCN responsable del proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.  Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan para retornar a la operación normal, caso devolución a los puestos de trabajo, captura de las operaciones que no se procesaron en un aplicativo, entre otras.  Encuesta de satisfacción: Este informe lo realizan diferentes integrantes de la prueba, donde se busca determinar el grado de satisfacción de la prueba. La conforman aspectos como: duración de la prueba, preparación de la prueba y la comunicación de la misma, y dificultades que se identificaron.  Acta de reunión: En este documento se establecen los objetivos, conclusiones de la prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros obtenidos en la ejecución de la prueba y los riesgos asociados identificados en la ejecución de la prueba, así como las acciones mitigantes que mejorarán la estrategia de continuidad del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la prueba. Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento “Acta de reunión” dirigido a los participantes y al jefe responsable de proceso.
  • 37.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 37 de 123 7.1.5ETAPA DE MANTENIMIENTO A) CONCEPTO Es la revisión periódica de lineamientos, estrategias, técnicas y planes, capacitación a personal para que el PCN permanezca actualizado con el objetivo de ser capaz de lograr la recuperación de actividades de misión crítica dentro de los objetivos de tiempo de recuperación asegurando una continuidad de sus servicios y productos. B) OBJETIVOS  Verificación y validación de lineamientos, estrategias y planes de PCN.  Detalles de todos los cambios de estrategias del PCN con el historial de control de versiones. C) FACTORES DE ACTUALIZACION Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de éste, que afectan el PCN. A continuación se relaciona una lista de eventos que pueden generar una revisión al PCN:  Requerimientos legales.  Nuevos productos.  Nuevo hardware, plataformas, aplicativos u otros cambios de tecnología (Sistemas Operativos, Bases de Datos).  Cambios en las telecomunicaciones (voz o datos).  Quiebra y/o cambio de un proveedor crítico.  Cambio de instalaciones.  Cambios en el personal o reubicación del mismo.  Transferencia de funciones entre sitios existentes.  Consolidación o tercerización de funciones.  Cambios en proveedores externos críticos.  Resultados de las pruebas del Plan de Continuidad del Negocio.  Cambios en el Sistema de Gestión de Calidad y Procesos.
  • 38.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 38 de 123 7.2 FASE DE ADMINISTRACION DE CRISIS 7.2.1 CONCEPTO En esta fase se gestiona efectivamente el manejo de la crisis, durante y después de la misma; un buen manejo de la crisis minimiza los impactos de una interrupción. 7.2.2OBJETIVOS  Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.  Identificar tipos de emergencias y las respuestas necesarias. 7.2.3ALCANCE Este plan de administración de crisis se ejecuta teniendo como premisa las decisiones del Comité SARO- SARLAFT. Todas las comunicaciones serán dirigidas por el responsable de comunicaciones del Instituto y se apoyarán en el Manual de gestión de la comunicación en situaciones de crisis. Los documentos indicados en los numerales 8.3.1 y 8.3.2 “Escenario de contingencia a sitio alterno” y “Manejo de incidentes por problemas en los sistemas”, sintetizan esta fase, la cual está conformada por las siguientes etapas: Etapa de Evaluación: La evaluación constituye la etapa de valoración preliminar de un evento de interrupción que afecta de forma considerable la Entidad. La evaluación se hace en sitio, teniendo en cuenta los perfiles y competencias necesarios para determinar: causa de la interrupción, población de usuarios afectada, apreciación de la magnitud, valoración del daño, escenario de soluciones, recursos involucrados y tiempo estimado de la solución. Etapa de Activación: Se describen las actividades requeridas para declarar y comunicar el desastre de forma tal que se active la contingencia y se comunique la interrupción a los equipos responsables de recuperar el servicio. Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para restaurar la operación a la normalidad, una vez superada la contingencia y recuperados los servicios de la entidad.
  • 39.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 39 de 123 8 ANEXOS 8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA  Estrategia PCTI – Base de Datos  Estrategia Red WAN  Estrategia Red LAN – Switches  Estrategia – Sistema Operativo – Software de Base de Datos
  • 40.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 40 de 123 ESTRATEGIA TECNOLÓGICA DE BASE DE DATOS 1. OBJETIVO Recuperar un servidor de base de datos por daño en el sistema manejador de la base de datos que se encuentra en el centro de cómputo ICETEX. 2. ALCANCE El procedimiento aplica para los siguientes escenarios:  Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por una base de datos.  Falla a nivel de Software de Base de datos. 3. CONDICIONES GENERALES Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:  Contrato vigente de soporte y Carta de Servicio ORACLE o MS SQL Server 4. DESCRIPCIÓN DIAGRAMA DE FLUJO
  • 41.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 41 de 123 ACTIVIDADES ACTIVIDADES O TAREAS No. Act Descripción de la Actividad Observaciones Responsable Recursos requeridos y ubicación 1 Identificar la falla y realizar un diagnóstico interno Administrador de la base de datos 2 Llamar al CONTRATISTA responsable del mantenimiento Llamar a las líneas: Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Dirección de Tecnología (Continuidad_de_negocio) Administrador de la base de datos Contrato 3 Diagnóstico de la situación. Se efectúa un diagnóstico del estado de la base de datos. Administrador de la base de datos y/o contratista 4 ¿Se puede recuperar el servicio en la misma máquina? De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio. En caso afirmativo pasa al punto 5 de lo contrario al punto 6. Administrador de la base de datos y/o contratista 5 Proceder a Se restablece el servicio en el mismo Administrador de la
  • 42.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 42 de 123 restablecer el servicio servidor y se pasa al paso 10 base de datos y/o contratista 6 Recuperar la hoja de vida de la base de datos La extraerá del repositorio Continuidad_de_negocio de plantillas de hojas de vida de las bases de datos. Administrador de la base de datos, Coordinador de infraestructura, o el Director de tecnología 7 Crear la base de datos en el servidor de contingencia. Toma la hoja de vida y con los comandos de la consola de administración crea la base de datos con los parámetros descritos en la hoja de vida. Administrador de la base de datos. 8 Recuperar ultima copia de la base de datos. Tomar ultima copia de seguridad disponible de la base de datos y proceder a su restauración en la base de datos creada recientemente. Administrador de la base de datos. 9 Definir los usuarios del sistema en el nuevo servidor. Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignándoles los perfiles requeridos Administrador de la base de datos. 10 Verificar que la base de datos opera adecuadamente. Si los resultados son satisfactorios se sigue al paso 11, sino vuelve al paso 4. Administrador de la base de datos 11 Se informa al Coordinador de Infraestructura o al Director de Tecnología del restablecimiento del servicio Reporte de funcionamiento y se documenta el proceso efectuado. Administrador de la base de datos. 12 Reporte de servicio restablecido. El Coordinador de Infraestructura o el Director de Tecnología, informan que la contingencia ha sido superada. Coordinador de Infraestructura, Administrador de la Red o el Director de Tecnología 5. SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN V1 10/12/2012 Creación del documento.
  • 43.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 43 de 123 ESTRATEGIA TECNOLÓGICA DE RED WAN 1. OBJETIVO Recuperar un enlace de comunicación entre una sede regional y el nodo central 2. ALCANCE El procedimiento aplica para los siguientes escenarios:  Daños o fallas en algún enlace que afecte servicios dentro de los cuales esta soportado por la red WAN. 3. DEFINICIONES N/A 4. CONDICIONES GENERALES Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:  Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo) 5. DESCRIPCIÓN DIAGRAMA DE FLUJO
  • 44.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 44 de 123 ACTIVIDADES ACTIVIDADES Ó TAREAS No. Act Descripción de la Actividad Observaciones Responsable Recursos requeridos y ubicación 1 Identificar la falla y realizar un diagnóstico interno Profesional Dirección de tecnología y Proveedor de servicios de la red 2 Llamar al CONTRATISTA Llamar a las líneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos Coordinador de Infraestructura o Profesional de Dirección de tecnología Contrato (Anexo 1) 3 Diagnóstico de la situación por parte del administrador de la red o del contratista Se efectúa un diagnóstico del estado del enlace de comunicaciones. Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista 4 Se puede recuperar el servicio empleando el canal de contingencia De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista 5 Proceder a restablecer el servicio Se restablece el servicio y se pasa al paso 7 Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista 6 Establecer canal de comunicación alterno Enviar equipo de trabajo, revisar el enrutador, el enlace, canal Contratista 7 Validar la configuración Establecer QoS, parámetros de configuración, enrutamiento, etc Contratista 8 Verificar que el enlace opera adecuadamente Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista 9 Se informa al Coordinador de infraestructura o al Director de tecnología, del Reporte de funcionamiento y se documenta el proceso efectuado Coordinador de Infraestructura o Profesional de Dirección de tecnología
  • 45.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 45 de 123 restablecimiento del servicio 10 Reporte de servicio restablecido El Coordinador de infraestructura o el Director de tecnología, informan que la contingencia ha sido superada. Coordinador de infraestructura, Administrador de la red o el Director de tecnología 6. SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE 7. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN V1 17/02/2013 Creación del documento.
  • 46.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 46 de 123 ESTRATEGIA TECNOLÓGICA DE LAN - SWITCHES 1. OBJETIVO Recuperar un Switch que se encuentra en la red de ICETEX. 2. ALCANCE El procedimiento aplica para los siguientes escenarios:  Daños o fallas en alguno de los Switches.  Falla a nivel de Hardware o Software. 3. CONDICIONES GENERALES Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:  Contrato vigente de soporte y Carta de Servicio DSSP (Ver Anexo) 4. DESCRIPCIÓN DIAGRAMA DE FLUJO
  • 47.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 47 de 123 ACTIVIDADES ACTIVIDADES O TAREAS No. Act Descripción de la Actividad Observaciones Responsable Recursos requeridos y ubicación 1 Identificar la falla y realizar un diagnóstico interno Administrador de la Red 2 Llamar al CONTRATISTA responsable del mantenimiento o tomar uno de los switch del stock disponible para asignar un recambio Llamar a las líneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Dirección de tecnología Continuidad_de_negoci o contactos Administrador de la Red Contrato y carta de solicitud (Anexo 1) 3 Tomar el Swicth de recambio Administrador de la Red 4 Recuperar la plantilla de configuración La suministrará el Coordinador de Infraestructura de Tecnología o el Director de tecnología, y este la ubicará en el repositorio Continuidad_de_negocio plantillas de configuración de los swicthes Coordinador de infraestructura, Administrador de la red o el Director de tecnología 5 Resetear el swicth, y aplicar la plantilla de configuración Toma la plantilla y con los comandos ::: proceder a cargarla en el Swicth de reposición Administrador de la Red 6 Verificar que el swicth opera adecuadamente Se conecta el switch y se efectúan las pruebas de enrutamiento necesarias. Administrador de la red 7 El swicth opera adecuadamente Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica Administrador de la red 8 Se informa al Coordinador de infraestructura o al Director de tecnología, del restablecimiento del servicio Reporte de funcionamiento y se documenta el proceso efectuado Administrador de la Red 9 Reporte de servicio restablecido El Coordinador de Coordinador de
  • 48.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 48 de 123 infraestructura o el Director de tecnología, informan que la contingencia ha sido superada. infraestructura, Administrador de la red o el Director de tecnología 5. SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN V1 29/05/2010 Creación del documento. V2 17/08/2010 Ajustar procedimiento a formato. V3 05/12/2012 Ajustar el procedimiento de acuerdo al análisis de impacto de negocio desarrollado y la nueva estrategia de outsourcing del centro de datos.
  • 49.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 49 de 123 ESTRATEGIA TECNOLÓGICA DE SISTEMA OPERATIVO – SOFTWARE DE BASE DE DATOS 1. OBJETIVO Recuperar un servidor de base de aplicaciones por daño en el sistema. 2. ALCANCE El procedimiento aplica para los siguientes escenarios:  Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por un servidor web o servidor de aplicaciones.  Falla a nivel de Software Base del servidor. 3. CONDICIONES GENERALES Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:  Contrato vigente de soporte servidores 4. DESCRIPCIÓN ACTIVIDADES ACTIVIDADES Ó TAREAS No. Act Descripción de la Actividad Observaciones Responsable Recursos requeridos y ubicación 1 Identificar la falla y realizar un diagnostico interno Administrador servidores 2 Llamar al CONTRATISTA responsable del mantenimiento o Llamar a las líneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos Administrador de servidores Contrato 3 Diagnóstico de la situación por parte del administrador del servidor o del contratista Se efectúa un diagnóstico del estado del software base. Administrador del servidor 4 Se puede recuperar el servicio en la misma máquina De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio Administrador del servidor y/o contratista
  • 50.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 50 de 123 5 Proceder a restablecer el servicio Se restablece el servicio en el mismo servidor y se pasa al paso 9 Administrador del servidor 6 Recuperar la hoja de vida del servidor La extraerá del repositorio de plantillas de hojas de vida de los servidores Coordinador de infraestructura, Administrador del servidor o el Director de tecnología 7 Actualizar la configuración en el servidor de contingencia Toma la hoja de vida y con los comandos de la consola de administración instala, configura los servicios con los parámetros descritos en la hoja de vida. Administrador del servidor 8 Definir los usuarios del sistema en el nuevo servidor Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignándoles los perfiles requeridos Administrador del servidor 9 Verificar que el servidor la aplicación, el servidor web o servidor de aplicaciones opera adecuadamente Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica Administrador del servidor 10 Se informa al Coordinador de infraestructura o al Director de tecnología, del restablecimiento del servicio Reporte de funcionamiento y se documenta el proceso efectuado Administrador del servidor 11 Reporte de servicio restablecido El Coordinador de infraestructura o el Director de tecnología, informan que la contingencia ha sido superada. Coordinador de infraestructura, Administrador de la red o el Director de tecnología 5. SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN V1 10/12/2012 Creación del documento.
  • 51.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 51 de 123 8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las siguientes estrategias manuales ante una contingencia cuyo escenario es falla de los sistemas con los que ejecutan la operación: No. Contingencia manual a procedimientos Area 1. Resoluciones de giro por fallas del sistema C&CETEX Vicepresidencia de Fondos 2. Expedición del certificado de disponibilidad presupuestal ante la imposibilidad de operar en el sistema Apoteosys Vicepresidencia Financiera 3. Registro presupuestal de compromisos ante la imposibilidad de operar en el sistema Apoteosys. Vicepresidencia Financiera 4. Registro presupuestal de obligaciones ante la imposibilidad de operar en el sistema Apoteosys Vicepresidencia Financiera 5. Análisis contable de causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys Vicepresidencia Financiera 6. Giro por falla en el sistema Apoteosys Vicepresidencia Financiera 7. Generación de correspondencia externa ante imposibilidad de operar en el sistema mercurio Secretaria General 8. Consulta de archivo Secretaria General 9. Pago de servicios públicos y administraciones ante la imposibilidad de operar en el sistema Apoteosys Secretaria General
  • 52.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 52 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE RESOLUCIONES DE GIRO POR FALLAS DEL SISTEMA C&CETEX Macro proceso: Otorgamiento de Productos Proceso: Gestión de legalización y renovación para aprobación del desembolso 1. OBJETIVO Obtener un plan de contingencia para el procedimiento crítico de Resoluciones de Giro en la Vicepresidencia de Fondos por fallas del sistema C&CETEX. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el que la Vicepresidencia de Fondos en Administración determinará los Giros urgentes a emitir en el día, de acuerdo con los compromisos contraídos con los Constituyentes y sobre esta decisión informará al personal encargado para que procedan a aplicar la contingencia. 3. CONDICIONES GENERALES  Para el desarrollo de esta contingencia se requiere contar con el reporte de “Faltantes de Giro” de la Vicepresidencia de Fondos en Administración, actualizado a fecha del día anterior, para lo cual es necesario que el funcionario designado genere al final del día este reporte y lo guarde en la Carpeta Compartida de la Vicepresidencia de Fondos, debidamente protegido para que no sea posible su manipulación por ninguna persona.  Los giros propuestos a gestionar deberán haber cumplido con las siguientes condiciones para iniciar el proceso de giro: o Hallarse la documentación soporte en la Entidad, o Encontrarse en el sistema C&CETEX con los estados de: “Autorizado”, “Concepto jurídico viable” o “Renovado IES”. 4. DESCRIPCION 4.1 ACTIVACION DE LA CONTINGENCIA - GENERACION DEL GIRO Encargado del Fondo / Vicepresidencia de Fondos en Administración 4.1.1 Cumplido el Procedimiento de Legalización de Crédito Educativo, se recepciona por parte del Constituyente la autorización con la relación de los Beneficiarios autorizados para que se les desembolse, documento debidamente firmado por el funcionario autorizado en el Fondo.
  • 53.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 53 de 123 4.1.2 Ingresar a la dirección de “Carpeta Compartida de Fondos” y seleccionar el reporte “Faltantes de Giro”, que contiene la información de los Beneficiarios que se encuentran en las condiciones indicadas en el numeral 3. Proceder a filtrar la información con la información de los Beneficiarios a gestionar el giro de acuerdo al rubro a pagar. 4.1.3 Revisar que los datos del Beneficiario autorizado en el documento de Autorización de Beneficiarios contenga la misma información que se encuentra en el Reporte de Faltantes de Giro: nombre del beneficiario, universidad, programa, valor aprobado para el giro. 4.1.4 Si la revisión es coincidente proceder a diligenciar el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración. Esta planilla debe firmarla en constancia de elaboración. 4.1.5 En caso que se presente diferencia en la información, es necesario solicitar aclaración con el Constituyente a través de correo electrónico. 4.1.6 Entregar al Técnico Administrativo los siguientes documentos: Formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración” y documento de Autorización de Beneficiarios por parte de Constituyente. Técnico Administrativo / Vicepresidencia de Fondos en Administración 4.1.7 Elaborar por cada orden de giro, el Formato “Resolución Giro Contingencia C&CETEX” con los datos indicados en el formato 135. 4.1.8 Revisar el Formato “Resolución Giro Contingencia C&CETEX” contra el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración, verificando que los datos que componen la orden de resolución coincida la información que reposa en el reporte de faltantes. 4.1.9 Las ordenes de resolución cuya información es igual, serán firmadas por el Técnico Administrativo, en el campo de “Elaboro”. 4.1.10 Aquellas resoluciones que difiere la información debe corresponder a equivocación en la emisión de la orden de resolución, por cuanto es necesario corregir las órdenes y volver a imprimir y firmar. 4.1.11 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Encargado del Fondo. Encargado del Fondo / Vicepresidencia de Fondos en Administración 4.1.12 Revisar la ordenes de resoluciones de giro garantizando su correcta emisión, en constancia firma en el campo “Reviso” de dicho documento. 4.1.13 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Coordinador. Coordinador / Vicepresidencia de Fondos en Administración
  • 54.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 54 de 123 4.1.14 Revisar el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración”, la orden de resolución de giro, el Formato “Resolución Giro Contingencia C&CETEX” y la Autorización del Fondo con la relación de los beneficiarios contra el Reporte de Faltantes de Giro, verificando la consistencia en la información. 4.1.15 De encontrarla correcta, proceder a firmar la Planilla 135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración” y la “Resolución Giro Contingencia C&CETEX”. 4.1.16 De encontrar algún tipo de inconsistencia, debe rechazar la orden de resolución y solicitar aclaración al Funcionario encargado del Fondo. 4.1.17 Entregar la documentación correspondiente a las Órdenes de Resolución de giro autorizadas al Vicepresidente de Fondos en Administración, quien realiza una última verificación de la información y firma como Ordenador del Gasto. Estos documentos son devueltos al Coordinador responsable del Fondo. 4.1.18 Actualizar los giros ordenados en el Reporte de Pendientes, diligenciando los siguientes campos:  Fecha orden de resolución: Años, mes y día (AAAA/MM/DD) de la solicitud de emisión de la orden de giro.  Elaborado: Nombre y apellido del Funcionario encargado del Fondo que está solicitando la orden de resolución de giro. Técnico Administrativo / Vicepresidencia de Fondos en Administración 4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo “Fecha de resolución” y proceder a generar un archivo independiente con las resoluciones de desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura requerida por el sistema Apoteosys, información que reposa en el Reporte de Pendientes de Fondos. 4.1.20 Entregar las Órdenes de Resolución y el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración” al Grupo de Presupuesto de la Vicepresidencia Financiera, para su cumplimiento. 4.2 CARGE DEL ARCHIVO EXCEL CON INFORMACION DE LAS RESOLUCIONES DE DESEMBOLSO AL MAESTRO DE RESOLUCIONES DE APOTEOSYS Técnico Administrativo / Vicepresidencia de Fondos en Administración 4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las instrucciones dadas por la Dirección de Tecnología. 4.3 RETORNO A LA NORMALIDAD – SISTEMA C&CETEX Dirección de Tecnología
  • 55.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 55 de 123 4.3.1 Una vez restablecida la incidencia presentada en el aplicativo C&CETEX, la Dirección de Tecnología efectuará la actualización de las ordenes de resoluciones emitidas que ya han sido cargadas en el sistema Apoteosys. 4.3.2 Informar a la Oficina de Riesgos la actualización del aplicativo C&CETEX y su restablecimiento. Oficina de Riesgos 4.3.3 Avisar a la Vicepresidencia de Fondos en Administración el restablecimiento del sistema C&CETEX y el Vicepresidente informe al personal del área y puedan ingresar a dicho aplicativo.
  • 56.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 56 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE EXPEDICION DEL CERTIFICADO DE DISPONIBILIDAD PRESUPUESTAL ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Expedición del Certificado de Disponibilidad Presupuestal (CDP), donde se emite el documento que garantiza la existencia de apropiación presupuestal disponible, para la asunción de compromisos o traslados con cargo al presupuesto de la respectiva vigencia fiscal. 2. ALCANCE Este procedimiento se utiliza ante la activación de contingencia dada por la Oficina de Riesgos, caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera determina los Certificados de Disponibilidad Presupuestal a emitir en el día, de acuerdo con las necesidades de las diferentes áreas de la Entidad y sobre esta decisión informa al personal del Grupo de Presupuesto para que procedan a aplicar esta contingencia. 3. CONDICIONES GENERALES  Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de Ejecución Presupuestal y Base de Datos de los CDP’s (Control dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir su manipulación por ninguna persona ajena al área. 4. DESCRIPCIÓN Ordenador del gasto
  • 57.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 57 de 123 4.1 Realizar solicitud de CDP (Certificado de Disponibilidad Presupuestal) dirigido al Coordinador de Presupuesto por medio de memorando, el cual es firmado directamente por el Ordenador del Gasto. Funcionario Encargado / Grupo de Presupuesto 4.2 Recibir memorando y verificar que se encuentre la siguiente información: Descripción del gasto, vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de Presupuesto. Coordinador / Grupo de Presupuesto 4.3 Revisar rubro presupuestal y saldo vigente en el Informe Base de Datos de los CDP’s (Control dual)”; para lo cual procede así: 4.3.1 Si existe rubro presupuestal y vigencia: Entregar al Funcionario Encargado para continuar el proceso. 4.3.2 Si el gasto no está contemplado para la vigencia en curso: Informar al Ordenador del Gasto de la no existencia del mismo a través de correo electrónico y en consecuencia se devuelve. 4.3.3 En caso de no existir apropiación vigente no afectada: Revisar al interior del rubro mayor la posibilidad de realizar ajuste:  De ser posible la modificación del rubro mayor: Efectuar novedad en el Reporte de Informe de Ejecución Presupuestal, guardando el equilibrio al interior del rubro mayor. Los documentos soportes son entregados al Funcionario Encargado.  En caso de no ser posible la modificación al rubro mayor y existir disponibilidad en otro rubro, seguir el procedimiento de “Modificación al Presupuesto”. Funcionario Encargado / Grupo de Presupuesto 4.4 Ingresar en el reporte “Base de Datos de los CDP’s” (Control dual)”, la información relacionada con el objeto asociado de la solicitud y el valor requerido. 4.5 Emitir CDP manualmente, con la información del objeto, valor y rubros presupuestales afectados. Coordinador / Grupo de Presupuesto 4.6 Revisar el CDP en físico y verificar que su contenido sea el mismo de la solicitud realizada.
  • 58.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 58 de 123 4.7 Si la información es correcta, firmar el CDP; en caso contrario, solicitar su corrección al Funcionario Encargado. Funcionario Encargado / Grupo de Presupuesto 4.8 Entregar al Ordenador del Gasto solicitante el CDP original mediante comunicación firmada por el Coordinador del Grupo de Presupuesto. Debe mantenerse una copia del CDP en el Grupo de Presupuesto de la Vicepresidencia Financiera, con el sello de recibido del área ordenante. 5. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia: 5.1 Registrar la información del CDP emitido, afectando el rubro presupuestal con el que se emitió el documento. 5.2 Modificar el rubro presupuestal en caso que se hayan realizado ajustes. 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 15/11/2012 Documento inicial
  • 59.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 59 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE COMPROMISOS ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Registro Presupuestal de Compromisos, documento mediante el cual se afecta de forma definitiva la apropiación presupuestal. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina las solicitudes de suscripción de compromisos a emitir en el día, de acuerdo con las necesidades urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en orden de prioridad. 3. CONDICIONES GENERALES  Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDP’s (Control Dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir su manipulación por ninguna persona ajena al área.  No se puede generar ningún compromiso presupuestal sin contar con el respectivo CDP (Certificado de Disponibilidad Presupuestal). 4. DESCRIPCIÓN
  • 60.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 60 de 123 Ordenador del Gasto 4.1 Enviar documento soporte del compromiso al Coordinador del Grupo de Presupuesto para su registro presupuestal, adjuntando los siguientes documentos: Certificado de Disponibilidad Presupuestal, documentación soporte del compromiso (contrato, convenio, ordenes, etc.) y autorización de las vigencias futuras si las hay. Coordinador de grupo / Grupo de Presupuesto 4.2 Recibir y verificar que los documentos:  Sean correctos y que los valores en ellos consignados sean los mismos.  Sean congruentes el objeto del contrato contra el CDP.  Contenga la imputación presupuestal y la vigencia.  Se encuentre firmado por los funcionarios autorizados. De encontrar correcta la información entrega al Funcionario Encargado; sí contiene inconsistencias devuelve al Ordenador del Gasto. Funcionario Encargado / Grupo de Presupuesto 4.3 Verificar en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDP’s (Control Dual), si existe saldo a comprometer del CDP en el respectivo rubro, donde se ubica el compromiso suscrito, procediendo así: 4.3.1 Si existe saldo a comprometer en el CDP:  Calcular el valor a descontar del saldo.  Registrar la información del compromiso en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos).  Sellar el registro presupuestal del compromiso, el sello contiene los siguientes datos: o CDP: Corresponde al número de CDP (Certificado de disponibilidad presupuestal), que respalda el compromiso. o RP: El número de Registro Presupuestal se coloca de forma manual y lo conforma la fecha (AAAAMMDD) y un consecutivo diario. o Rubro: Indica el nombre del rubro presupuestal afectado por el gasto. o Código: Indica el código del rubro presupuestal afectado por el gasto. o Fecha: Indica la fecha en la cual se hizo el registro presupuestal del compromiso. o Registrada por: Corresponde a la firma del Coordinador del Grupo de Presupuesto. Así mismo, estampar el sello de “Presupuesto registrado” en cada folio del compromiso registrado.
  • 61.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 61 de 123  Emitir comunicación al Grupo de Contratación sobre la emisión de registro presupuestal de compromisos y anexar los documentos soporte al registro presupuestal y entregar al Coordinador de Presupuesto. 4.3.2 Si no existe saldo por comprometer en el CDP, elaborar memorando rechazando el procedimiento, el cual se entrega al Coordinador del Grupo de Presupuesto. Coordinador de Grupo / Grupo de Presupuesto 4.4 Las suscripciones de compromisos donde existe suficiente saldo del CDP, revisar el registro presupuestal, firmar y remitir comunicación al Grupo de Contratación; de encontrar alguna inconsistencia, solicitar corrección al Funcionario Encargado. 4.5 En caso de no existir el saldo en el CDP, revisar y firmar la comunicación de devolución al Ordenador del Gasto. Funcionario Encargado / Grupo de Contratación 4.6 Recibir y continuar con el procedimiento “Legalización de contrato u orden de compra o servicio” (A4-2- 01). 5. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia: 5.1 Registrar la información del compromiso. 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 15/11/2012 Documento inicial
  • 62.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 62 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE OBLIGACIONES ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema apoteosys para desarrollar el procedimiento de registro presupuestal de obligaciones, documento donde se autoriza el pago del compromiso adquirido, garantizando que este solo se comprometerá para este fin. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina las órdenes de pago a atender en el día, de acuerdo con las necesidades urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en orden de prioridad. 3. CONDICIONES GENERALES  Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos), debidamente actualizado y armonizado a la fecha, la cual reposa en la Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes Consulta”, documento a conservar debidamente protegido para que no permitir su manipulación por ninguna persona ajena al área.  Este procedimiento se rige por el Acuerdo 001 del 16 de junio del 2006, por el cual se aprueba el Estatuto de Presupuesto del ICETEX, en especial lo relacionado en el capítulo V, artículo 37. 4. DESCRIPCIÓN Ordenador del Gasto
  • 63.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 63 de 123 Si la obligación corresponde a fondos, seguir el procedimiento “Registro Presupuestal de Obligaciones de Fondos” (A2-1-09). Si la obligación no corresponde a fondos, seguir el procedimiento “Legalización de contrato u orden de compra o servicio.” (A4-2-01). Ordenador del Gasto - Ejecutor del Presupuesto 4.1 Realizar y revisar la Orden de Pago F50 manual. De acuerdo con la naturaleza del compromiso realiza la orden de pago acompañada de los soportes necesarios (factura, resumen de nómina, caja menor, fondos, resoluciones de giro, crédito TAE, Access, Fiduciaria, giros). Funcionario Encargado / Grupo de Presupuesto 4.2 Recibir la Orden de Pago F-50 manual y los respectivos soportes. 4.3 Revisar la Orden de Pago F-50 manual y los respectivos soportes, de conformidad con el contrato y/o normas establecidas y que los valores en ellos consignados sean los correctos, procediendo así: 4.3.1 Si no tiene los respectivos soportes completos, devolver la Orden de Pago F-50 manual sin tramitar, dándose como no recibida al Ordenador del Gasto o Ejecutor del Presupuesto. 4.3.2 De presentarse los documentos soportes completos y correctos, revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos): 4.3.2.1 Existencia de compromiso por cumplir, es decir que haya la disponibilidad de recursos para efectuar ese pago de acuerdo con el compromiso adquirido. 4.3.2.2 Disponibilidad del saldo. 4.4 Si en la revisión determina que carece de compromiso por cumplir, proceder a emitir comunicación al Ordenador del Gasto, devolviendo la orden e indicando el motivo. 4.5 Las órdenes de recursos propios se registran en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos), donde se actualiza automáticamente el saldo con la obligación que se está tramitando. 4.6 Colocar sello de registro de obligación a la orden de pago, conteniendo la fecha de registro de obligación, e indica que los documentos ya fueron tramitados por el Grupo de Presupuesto. Coordinador de Grupo / Grupo de Presupuesto
  • 64.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 64 de 123 4.7 Aquellas órdenes a devolver, verificar el motivo de la devolución junto con los documentos soportes, si es correcto, firmar comunicación al Ordenador del Gasto. En caso de encontrar inconsistencias en la devolución, informar al Funcionario Encargado para su corrección. 4.8 Las ordenes que cumplen con las condiciones de existencia de compromiso por cumplir, revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos) su correcto registro; de estar en orden firmar la orden de pago F-50 manual en el campo denominado “Presupuesto”. Analista 3 / Dirección de Contabilidad 4.9 SI se requiere causar sigue el procedimiento “Análisis contable de causaciones y cuentas por pagar” (A2-3-10). Profesional Universitario 1 Analista 3/ Dirección de Tesorería Seguir procedimiento “Giro” (A2-2-04). Analista 3 / Dirección de Contabilidad Si hubo causación ingresa al aplicativo de Apoteosys y cancela las cuentas por pagar. 5. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en este sistema con las actividades que se realizaron en contingencia: 5.1 Ingresar los registros de las obligaciones realizadas. 5.2 Verificar que la Dirección de Contabilidad y la Dirección de Tesorería se haya causado la obligación y realizado el pago respectivamente, de tal manera que si se realizó el giro, haya descontado del saldo de la obligación el valor correspondiente y en caso de rechazo mantenga su saldo. 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 15/11/2012 Documento inicial
  • 65.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 65 de 123 CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE ANALISIS CONTABLE DE CAUSACIONES Y CUENTAS POR PAGAR ANTE IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Contable y Tributaria 1. OBJETIVO Obtener un plan de contingencia para el procedimiento crítico de Análisis contable de causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys, garantizando el correcto registro contable y la razonabilidad de los movimientos generados a partir de las cuentas por pagar con sus respectivos impuestos, teniendo en cuenta la normativa contable vigente. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el cual se procederá así:  El Director de Tecnología definirá las medidas para apoyar la contingencia, así como aquellas actividades necesarias para solucionar la situación generada en el aplicativo Apoteosys.  El Director de Contabilidad de la Vicepresidencia Financiera determinará los registros contables a efectuar en el día, de acuerdo con las necesidades de las diferentes áreas de la Entidad y sobre esta decisión informará al personal encargado para que procedan a aplicar esta contingencia. 3. CONDICIONES GENERALES  Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta y tercero, el cual puede ser generado a partir del último backup del sistema o por la herramienta Biable. Para ello, se contará con el apoyo de la Dirección de Tecnología, donde ejecutarán el Procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex.  La documentación soporte de la cuenta por pagar definida en los entregables establecidos en el contrato u orden de servicio, debe estar completa y pre-validada por el Interventor que le corresponda.
  • 66.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 66 de 123  La información del proveedor o contratista debe haber sido previamente verificada en SARLAFT, dentro del proceso precontractual.  Los soportes de la cuenta de cobro o facturas deben ser entregados el mismo día en que se genera la cuenta de cobro, previa revisión del Interventor que corresponda. 4. DESCRIPCIÓN Coordinador de Tecnología / Dirección de Tecnología Aplicar el procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex. Técnico Administrativo / Dirección de Contabilidad Recibir documentos del Grupo de Presupuesto y analizar los soportes recibidos validando la existencia del contrato y que los soportes incluyan los valores relacionados en las cláusulas del contrato u órdenes de compra o servicios que corresponda. Si los documentos no están completos o hay extemporalidad en la entrega, solicitar la reversión de transacción de registro presupuestal al Grupo de Presupuesto a través de correo electrónico. Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta contable y tercero, situación que se puede obtener a partir de la extracción directa de la base de datos del backup de la información con apoyo de la Dirección de Tecnología o como segunda forma de generarlo a través del Reporteador BIABLE. Validar el origen de la cuenta: Si el origen de la cuenta por pagar es un Fondo Establecer la razonabilidad contable del movimiento, analizando a partir del estado de cuenta de los Fondos en Administración, si el movimiento corresponde al registrado por el área de Fondos, datos que puede observar en el Informe de Saldos y movimiento contables. Efectuar liquidación de impuestos de conformidad con la norma contable y la reglamentación que para tal efecto se encuentra establecida en el plan de cuentas financiero y el estatuto tributario y registrar la resolución de giro que ampara la cuenta por pagar dentro del Informe de Saldos y movimiento contables. Otras cuenta por pagar: Consultar manualmente el “Auxiliar contable por tercero” dentro del Informe de Saldos y movimiento contables.
  • 67.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 67 de 123 Establecer el valor y oportunidad de liquidación de impuestos, haciendo verificación del clausulado contractual y el pago de parafiscales. Verificar el registro del proveedor con sus obligaciones tributarias diligenciadas dentro de la factura de proveedor, de acuerdo con el régimen tributario al cual pertenece, estableciendo la razonabilidad contable del movimiento, analizando si el movimiento corresponde a una provisión, gasto, anticipo o es un pago de impuestos. Realizar la liquidación del pago de impuestos manualmente de conformidad con el análisis realizado y registrar el movimiento de cuentas dentro del Informe de Saldos y movimiento contables. Estampar el sello de “Contabilizado” en la Orden de Resolución u Orden de Pago, firmar y colocar la fecha de procesado en la Dirección de Contabilidad. Analizar el impacto del movimiento contable en los estados financieros y en los estados de cuentas de los fondos en administración. Entregar la Orden de Resolución u Orden de Pago y los documentos soportes a la Dirección de Tesorería para que realice el giro. Una vez realizado el desembolso de acuerdo con el procedimiento de “Giro” en la Dirección de Tesorería, consolidar la información en el Informe de Saldos y movimiento contables. 5. RETORNO A LA NORMALIDAD Técnico Administrativo / Dirección de Contabilidad 5.1 Una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, obtener los nuevos saldos de las cuentas contables en el Informe de Saldos de movimientos contables. 5.2 Extraer los movimientos contables que se realizaron durante la contingencia, generando un archivo plano y subirlo en el aplicativo Apoteosys por la opción de Interfaces. 5.4 Comparar los saldos contables generados en el sistema Apoteosys con los producidos en el Saldos de movimientos contables, debiendo existir consistencia en la información. En caso de existir diferencia es necesario establecer la diferencia y corregir. 6. 6. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 22/10/2012 Documento inicial CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE GIRO ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
  • 68.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 68 de 123 Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Giro, documento que integra las actividades a realizar para la emisión de los diferentes pagos para cumplir con las obligaciones del Icetex. 2. ALCANCE Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, situación donde el Director de Tesorería de la Vicepresidencia Financiera determina las Resoluciones de Giro y Orden de Pago a emitir en el día, de acuerdo con las necesidades urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Pagaduría para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en orden de prioridad. 3. CONDICIONES GENERALES 3.1 Para el desarrollo del giro a través de Transferencia Electrónica o Tarjeta Recargable, es necesario contar con el formato del archivo plano de Archivo de Transferencias de los Portales Bancarios donde el Icetex tiene Cuentas Corrientes / Ahorros. 4. DESCRIPCIÓN Coordinador Grupo de Presupuesto / Vicepresidencia Financiera  Sigue el procedimiento de Registro Presupuestal de Obligaciones.  Cuando es una resolución de giro de crédito pasa directamente a la actividad 4.1. Director de Contabilidad / Vicepresidencia Financiera
  • 69.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 69 de 123 Si es un giro de gastos al fondo o de funcionamiento sigue el procedimiento de Análisis contable de causaciones y cuentas por pagar. Técnico Administrativo / Grupo de Pagaduría / Dirección de Tesorería 4.1 Registrar hora y fecha de recepción de documentos de giro según corresponda: En la hoja de ruta si se trata de Resolución de Giro. En la “Relación de Órdenes de Pago” si se trata de órdenes de pago, donde adicionalmente se revisa que estén como anexos los soportes requeridos, tales como: Cuentas de cobro, informe de actividades, facturas, planillas, actas de recibo de satisfacción, certificaciones bancarias, etc. Para cada uno de los casos relacionar en el archivo de Excel “Control de Ingreso”, los campos: Fecha y hora de recepción, número de resolución Orden de Pago, Preparador asignado, oficina ordenadora del pago, moneda en que se pagará y programa que afecta el pago. Si se presenta alguna inconsistencia en la revisión y registro, se hace devolución a la Oficina Ordenadora del Gasto para los respectivos ajustes copiando al Grupo de Presupuesto y Dirección de Contabilidad y registrando la novedad en el archivo de “Control de Ingreso”. 4.2 Entregar los documentos al Preparador de Pagos asignado, según la tipología del pago, el recurso a pagar y el tipo de moneda del pago. Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería 4.3 Recibir las Ordenes de Pago y/ Resoluciones de Giro. 4.4 Verificar que los documentos estén firmados y los que se requieran estén causados y contengan los soportes necesarios para realizar el pago. Así mismo, verifica que los valores de las órdenes de pago y/o resoluciones de giro concuerden con los valores de los soportes anexados:  Si la información requerida para los giros está incorrecta o incompleta, debe devolverse a la Oficina Ordenadora del Gasto para los ajustes respectivos copiando al Grupo de Presupuesto y Dirección de Contabilidad.  Si la información es correcta, efectuar actividad 4.5. 4.5 Verificar los terceros a girar en el reporte en Excel “Atención de Embargos”, donde se encuentra la relación de embargos requeridos por los Entes Judiciales:  Presenta embargos: Proceder de acuerdo a la Guía de Embargos publicada y su correspondiente formato.  No presenta embargos, continua con la actividad 4.6.
  • 70.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 70 de 123 4.6 Clasificar el recurso a pagar: Propios, TAE, Fondos y verificar que la cuenta a debitar posea los recursos disponibles. 4.7 Aplicar la guía correspondiente, de acuerdo con la tipología del pago:  Cheques de Gerencia: Proceder de igual manera con lo descrito en la Guía G59.  Transferencia Electrónica: Proceder de acuerdo con lo descrito en el numeral 5 de este documento.  G61 Guía con Nota Débito  G63 Guía Tarjetas Recargables 5. GUIA DE PAGO DE TRANSFERENCIA ELECTRONICA Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería 5.1 Llenar de forma manual el archivo plano de pagos denominado “Archivo de Transferencias”, según la estructura técnica de cada Banco, que se encuentra definido en el Grupo de Pagaduría. 5.2 Ingresar al Portal Bancario, identificándose con su usuario y dispositivo de seguridad asignado y cargar el archivo plano “Archivo de Transferencias”. 5.3 Imprimir directamente del Portal Bancario el proceso de pagos definitivo, impresión que debe contener la siguiente información:  Cuenta a debitar Icetex  Nombre del destinatario de cada giro  Identificación del destinatario de cada giro  Banco destino  Número de cuenta destino  Tipo de cuenta  Valor a transferir Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería 5.4 Verificar y asignar el punteo del proceso de pagos definitivo a un funcionario diferente al que Preparador de Pagos que lo elaboró, el cual verifica el Archivo de Transferencias cargado en el Portal Bancario contra los soportes físicos de cada pago. Funcionario asignado de punteo / Grupo de Pagaduría / Dirección de Tesorería
  • 71.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 71 de 123 5.5 Revisar los datos impresos del Portal Bancario frente a los soportes físicos de cada giro (Resolución de giro, Orden de Pago u otro documento soporte de la ordenación del giro), validando que coincida:  El número de identificación del beneficiario  Número y tipo de cuenta bancaria destino  Entidad bancaria destino  Valor del giro 5.6 Si se encuentra todo correcto, procede a firmar en señal de revisado, indicando fecha y número de registros verificados y novedades encontradas. Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería 5.7 Asignar número de proceso mediante numerador y registrar en la Planilla de Control “Planilla Pagos.xls", la siguiente información: Consecutivo, tema, fecha pago, Fecha reproceso, No. de registros, Valor, Usuario preparador, Recurso, Novedades, Banco a debitar, Respuesta y Funcionario que puntea. 5.8 Ingresar al Portal Bancario a verificar que la cuenta seleccionada para el débito de los recursos esté correcta, la información generada se encuentre acorde con los soportes ya verificados y punteados y realiza la aprobación del giro. Director de Tesorería / Dirección de Tesorería 5.9 Ingresar al Portal Bancario correspondiente al pago preparado y verificar que los soportes recibidos tengan las firmas de quien realizó la preparación en el portal, la verificación de los registros y la firma del primer aprobador, valida el valor del lote en el portal contra el físico, cantidad de registros y nombre del lote. De encontrar todo en orden, procede con la autorización final del proceso. Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería 5.10 Confirmar en el Portal Bancario que las aprobaciones hayan sido efectivas y el proceso no se encuentra rechazado o declinado. 5.11 Generar y remitir vía correo electrónico al funcionario encargado de digitación, archivo de Excel denominado “Formulación”, con los datos necesarios de los Giros realizados por la Entidad para desarrollar el Proceso de Digitación, para publicar en la Página Web del Icetex. 5.12. Continuar Procedimiento “Boletín de Tesorería”. 5.13 Tres días hábiles después de realizada la aprobación de la transferencia, procede a ingresar al Portal Bancario por donde se realizó el pago y genera el archivo de respuestas que confirma las operaciones aprobadas y las rechazadas con su respectiva causal de no pago.
  • 72.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 72 de 123 6. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia, como son: Procedimiento de Giro Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería 6.1 Rechazar en el sistema las Órdenes de Pago y/o Resoluciones de Giros que se encuentran incorrectas o incompletas y fueron devueltas al Ordenador del Gasto. 6.2 Si el pago a realizar corresponde a una Resolución ACCES, ingresa al aplicativo financiero y confirma/ rechaza / aplaza las resoluciones de giro mediante la opción CONT152P6 – Confirmar Resoluciones con detalles por categoría en Tesorería. 6.3 Si se trata de una Resolución diferente a ACCES, ingresar al aplicativo financiero y confirma/ rechaza / aplaza las Resoluciones mediante la opción CONT152P2 – Confirmación Resoluciones en Tesorería. 6.4 Si se trata de una Orden de Pago, ingresar al aplicativo financiero y autorizar mediante la opción TES015P2 –Autorización Financiera de Pagos, luego mediante la opción TES017P1 – Egresos, se confirma el proceso de pago y genera el Comprobante de Egreso. 6.5 De ser necesario realizar anulación de alguna Orden de Pago se ingresa a la opción TES024P3 – Anular documentos de pago. Guía de Transferencias Electrónicas Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería
  • 73.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 73 de 123 6.6 Confirmar las Resoluciones por la opción “Confirmación de Desembolsos de Resoluciones” y las deja en estado de giro confirmado. 6.7 Cargar Archivo de Respuestas en Apoteosys, aplicando los abonos confirmados y los rechazos, debe validar el soporte bancario antes de efectuar la aplicación en Apoteosys con la causal respectiva. 7. HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 26/11/2012 Documento inicial
  • 74.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 74 de 123 CONTINGENCIA DEL PROCEDIMENTO DE CORRESPONDENCIA EXTERNA – SECRETARIA GENERAL Macroproceso: Gestión Documental Proceso: Gestión de Correspondencia 1. OBJETIVO Describir la contingencia del procedimiento de Correspondencia Externa, considerando los escenarios de causas de interrupción, los contactos de personal y los recursos mínimos necesarios. 2. ALCANCE El documento cubre la contingencia de correspondencia externa, así:  Correspondencia recibida: Va desde su recepción en el punto de Correspondencia del Icetex en Bogotá o en los Centros de Atención Nacional (CAN) hasta su entrega al área destino para su atención.  Correspondencia enviada: Su alcance inicia con la emisión del oficio en las áreas del Icetex y culmina en la entrega del mismo al Operador de Servicio Postal. 3. EVENTOS DE CONTINGENCIA A continuación se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupción de la operación: 3.1 CONTINGENCIA POR AUSENCIA DE PERSONAL Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación: 3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo de Correspondencia de Secretaria General (Ver Planilla de Contactos Grupo de Correspondencia – Secretaria General).
  • 75.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 75 de 123 3.1.2 El Coordinador del Grupo de Correspondencia activa la contingencia por “Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de información. 3.1.3 El Coordinador del Grupo de Correspondencia verifica la continuidad exitosa de los procesos. 3.2 CONTINGENCIA DE LUGAR 3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario de nivel 3 – Coordinador del Grupo de Correspondencia del incidente ocurrido y las instrucciones de activación de la contingencia de lugar. 3.2.2 El Coordinador del Grupo de Correspondencia contacta al personal crítico (equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. 3.2.3 El Coordinador del Grupo de Correspondencia informa al Jefe de Riesgos o su suplente que ocupará los puestos de trabajo en el lugar alterno de trabajo. 3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Correspondencia solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los programas requeridos. 3.2.5 El Coordinador del Grupo de Correspondencia confirma al Jefe de Riesgos la correcta continuidad de los procesos. 3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo. 3.2.7 El Coordinador del Grupo de Correspondencia devuelve el “kit de contingencia” para su custodia nuevamente. 3.2.8 El Coordinador del Grupo de Correspondencia comunica al personal crítico el “Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
  • 76.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 76 de 123 3.3 CONTINGENCIA POR FALLAS TECNOLOGICAS La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya interrupción prolongada de telecomunicaciones. 3.3.1 Contingencia por fallas de software, hardware o telecomunicaciones El procedimiento de Correspondencia Externa utiliza los siguientes aplicativos para el desarrollo de las actividades: Mercurio y Correo Electrónico. Ante fallas tecnológicas se procede de la siguiente manera: 3.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Correspondencia. 3.3.1.2 El Coordinador del Grupo de Correspondencia informa la situación presentada al Coordinador de Infraestructura de la Dirección de Tecnología. 3.3.1.3 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología. 3.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología (servidores backup, sistemas de recuperación de información, enlaces de comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la Oficina de Riesgos, relacionada a continuación: 3.3.2 Contingencia manual para el procedimiento de Correspondencia Externa ante fallas tecnológicas La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas que se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que estos dos (2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al considerar el correo electrónico como contingencia de comunicación del sistema mercurio. A continuación se describen los procedimientos a seguir en contingencia manual: CONDICIONES GENERALES La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s) mercurio y/o correo electrónico supera el tiempo objetivo de recuperación (RTO) del procedimiento de Correspondencia Externa. El Coordinador del Grupo de Correspondencia de Secretaria General procede a informar a los usuarios de todas las áreas y Centros de
  • 77.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 77 de 123 Atención Nacional (CAN), el incidente e indica las instrucciones para operar con el procedimiento de contingencia y mecanismo de comunicación a utilizar. En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las contingencias estimadas: Contingencia Correspondencia externa recibida Correspondencia externa enviada Bogotá CAN Bogotá CAN Falla del sistema mercurio Centralizada y recibida por el Grupo de Correspondencia Enviar escaneado el oficio recibido y remitirlo al correo electrónico gdocumental2@icetex.gov.co y lmorales@icetex.gov.co Entregar oficio al Grupo de Correspondencia para envío a su destino Informar por correo electrónico los datos básicos del oficio para otorgar No. radicación Falla del sistema mercurio y correo electrónico Suministrar por teléfono datos del oficio para otorgar No. Radicación Suministrar por teléfono datos del oficio para otorgar No. radicación Tabla No. 1 – Contingencia del Procedimiento de Correspondencia Externa Nota: Las comunicaciones que se gestionen dentro de los Centros de Atención Nacional (CAN) también deben remitir los datos de la misma. De esta manera se asegura la adecuada gestión de la correspondencia externa, como lo exige el Acuerdo 060 del 2001 del Archivo General de la Nación. DESCRIPCION DEL PROCESO 3.3.2.1 CORRESPONDENCIA EXTERNA RECIBIDA Beneficiarios, proveedores, entidades y operadores de servicios postales 3.3.2.1.1Entregar documentación al punto de Correspondencia del Icetex en Bogotá o en los Centros de Atención Nacional (CAN).
  • 78.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 78 de 123 Técnico Administrativo de Secretaría General – Grupo de Correspondencia / Outsourcing de Atención al Cliente en Centro de Atención Nacional (CAN) 3.3.2.1.2Recibir y verificar que el oficio contenga los documentos soportes (cuando aplique) y los datos básicos que se requieren para radicación. 3.3.2.1.3Estampar sello de recepción del Icetex, colocar fecha, hora y firma de quien recibe el oficio. 3.3.2.1.4Escanear el (los) oficio(s) y documentos soportes (cuando aplique), si la falla es del sistema mercurio. 3.3.2.1.5Si el oficio es recibido en un Centro de Atención Nacional (CAN), el Outsourcing de Atención al Cliente informa del recibo del oficio al Grupo de Correspondencia – Secretaria General a través de correo electrónico, adjuntando la imagen escaneada. En caso de fallas en los dos sistemas se informa por teléfono la recepción del respectivo oficio con los datos básicos al Grupo de Correspondencia. Funcionario Responsable de Secretaria General – Grupo de Correspondencia 3.3.2.1.6Con el fin de determinar el número de radicación a iniciar en contingencia, el funcionario responsable del Grupo de Correspondencia – Secretaria General establece el último número de radicación que otorgó el sistema mercurio emitido por esa área y a éste le suma 30 números consecutivos, en consideración a que pudieron generarse nuevas radicaciones en otras áreas o Centros de Atención Nacional (CAN) posteriores a la asignada por el Grupo de Correspondencia, previo a la falla del sistema. 3.3.2.1.7Recibir oficio y diligenciar Ficha de Radicación en el documento en Excel denominado “Radicador Correspondencia Externa”, el cual contiene los datos básicos de la correspondencia. 3.3.2.1.8Guardar las imágenes de los oficios que se obtuvieron en el computador a su cargo, donde se mantendrán todas las comunicaciones dentro de la contingencia, otorgando como nombre el número de radicación. 3.3.2.1.9Leer y analizar la comunicación con el fin de identificar la ruta de destino del Oficio y distribuir así:  Oficio a tramitar en los Centros de Atención Nacional: Informar el número de radicación a través de correo electrónico y/o teléfono.  Oficio a tramitar en Bogotá: Distribuir el oficio de manera física al Técnico Administrativo del Área responsable de acuerdo con la guía de Distribución de Correspondencia y
  • 79.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 79 de 123 Preparación y Envío de Tulas (se usa cuando el documento se traslada entre ciudades). Como evidencia de la entrega diligenciar y firma el formato de Excel denominado “Correspondencia entregada”. Área Destino 3.3.2.1.10Recibir oficio, estampar sello como acuse de recibo y tramitar la solicitud respectiva. 3.3.2.1.11Continuar con el procedimiento Administración Archivos de Gestión. 3.3.2.2 CORRESPONDENCIA EXTERNA ENVIADA Funcionario responsable en cada área / Centros de Atención Nacional /Outsourcing de Atención al Cliente 3.3.2.2.1De encontrarse en contingencia el sistema mercurio, escanear oficio(s) a enviar como correspondencia externa, el cual debe haber cumplido con el proceso de revisión, aprobación y firma del Jefe o funcionario encargado y proceder a informar al funcionario responsable del Grupo de Correspondencia – Secretaria General, indicando el envío del (los) oficio(s) para radicación y adjuntando el (los) soporte(s) (cuando aplique), como lo indica la Tabla No. 1 “Contingencia del Procedimiento de Correspondencia Externa” Funcionario responsable de Secretaria General – Grupo de Correspondencia 3.3.2.2.2Sobre los oficios que se obtengan en original o escaneados se verifica que los documentos contengan los documentos indicados en el oficio y que se hallen los datos básicos a requerir para radicación. 3.3.2.2.3Diligenciar Ficha de Radicación en el documento de Excel “Radicador Correspondencia Externa”, el cual contiene los datos básicos del oficio. 3.3.2.2.4Guardar imagen de los oficios obtenidos en el computador, asignando como nombre el número de radicación. 3.3.2.2.5Generar documentos y/o planillas para el Operador de Servicio Postal. 3.3.2.2.6Realizar guía de Alistamiento de Correspondencia y entrega al Operador de Servicios
  • 80.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 80 de 123 3.3.2.3 CORRESPONDENCIA ENVIADA MASIVA Funcionario emisor 3.3.2.3.1Elaborar texto en Word, el cual es el mismo para todos los destinatarios de la correspondencia masiva. 3.3.2.3.2Generar archivo en Excel con la información y estructura definida para envío masivo. 3.3.2.3.3Solicitar al Grupo de Correspondencia – Secretaria General la entrega de comunicaciones masivas, adjuntando los archivos del texto modelo en Word y el listado de remitentes en Excel. Funcionario Responsable de Secretaria General – Grupo de Correspondencia 3.3.2.3.4Proceder de igual manera a los descritos en los numerales 3.3.2.2.3 al 3.3.2.2.6 de Correspondencia Externa Enviada. Recibir y verificar que los documentos contengan los documentos indicados en la comunicación y que se hallen los datos básicos que se requieren para radicación. El Operador de Servicios Postales realiza la actividad de impresión de correspondencia masiva. Es de aclarar, que el área solicitante debe enviar la firma autorizada digitalizada. 3.3.3.3 RETORNO A LA NORMALIDAD Funcionario Responsable de Secretaria General – Grupo de Correspondencia 3.3.3.3.1Una vez la Oficina de Riesgos informa la solución del sistema mercurio, el funcionario responsable del Grupo de Correspondencia procede a identificar el último número de radicación asignado en contingencia. Coordinador de Grupo de Correspondencia- Secretaria General 3.3.3.3.2Informar a los usuarios de las áreas y Centros de Atención Nacional para que reanuden la operativa en este sistema, indicándoles el número de radicación a iniciar en el sistema mercurio, que será el próximo al asignado en contingencia. Funcionario Responsable de Secretaria General – Grupo de Correspondencia
  • 81.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 81 de 123 3.3.3.3.3Adjuntar en el sistema mercurio, el archivo de Excel “Radicador de Correspondencia externa”, el cual contiene las comunicaciones externas enviadas y recibidas durante la interrupción. 3.3.3.3.4Verificar que exista coincidencia entre el número de radicación otorgado en contingencia y el asignado en el sistema mercurio. 3.3.3.3.5Dado que la numeración de radicación en contingencia se inició desde un número que se desconocía si era certero, verificar si hubo números que no fueron utilizados en el sistema; de ser así, emitir Acta de No Utilización de Números de Radicación, explicando que obedeció a un proceso de contingencia por interrupción del sistema mercurio. 3.3.3.3.6Firmar Acta como funcionario responsable y entregar al Coordinador del Grupo de Correspondencia – Secretaria General. Coordinador de Grupo de Correspondencia – Secretaría General 3.3.3.3.7Revisar numeración de radicación no utilizada en el sistema mercurio y verificar que esta misma se encuentre relacionada en el Acta de No Utilización de Números de Radicación; si esta todo en orden, firmar el documento en señal de aceptación. 4.HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 12/03/2013 Documento inicial
  • 82.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 82 de 123 CONTINGENCIA DEL PROCEDIMENTO DE CONSULTA DE ARCHIVO – SECRETARIA GENERAL Macroproceso: Gestión Documental Proceso: Gestión de Archivo 1. OBJETIVO Describir la contingencia del procedimiento de Consulta de Archivo, considerando los escenarios de causas de interrupción, los contactos de personal y proveedores. 2. EVENTOS DE CONTINGENCIA A continuación se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupción de la operación: 2.1 CONTINGENCIA POR AUSENCIA DE PERSONAL Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación: 2.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo de Archivo de Secretaria General (Ver Planilla de Contactos Grupo de Archivo – Secretaria General). 2.1.2 El Coordinador del Grupo de Archivo activa la contingencia por “Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de información. 2.1.3 El Coordinador del Grupo de Archivo confirma al Jefe del Area la continuidad exitosa de los procesos. 2.2 CONTINGENCIA DE LUGAR
  • 83.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 83 de 123 2.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario de nivel 3 – Coordinador del Grupo de Archivo del incidente ocurrido y las instrucciones de activación de la contingencia de lugar. 2.2.2 El Coordinador del Grupo de Archivo contacta al equipo de recuperación e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. 2.2.3 El Coordinador del Grupo de Archivo informa al Jefe de Riesgos o su suplente que ocupará los puestos de trabajo en el Lugar alterno de trabajo. 2.2.4 En el Lugar alterno de trabajo, el Coordinador del Grupo de Archivo solicita el kit de contingencia (recursos de escritorio) y al personal clave que inicie la conectividad a los programas requeridos. 2.2.5 El Coordinador del Grupo de Archivo confirma al Jefe de Riesgos la correcta continuidad de los procesos. 2.2.6 El Jefe de Riesgos confirma la disponibilidad y funcionabilidad del sitio normal de trabajo. 2.2.7 El Coordinador del Grupo de Archivo devuelve el “kit de contingencia” para su custodia nuevamente. 2.2.8 El Coordinador del Grupo de Archivo comunica al personal el “Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”. 2.3 CONTINGENCIA POR FALLAS TECNOLOGICAS La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya interrupción prolongada de telecomunicaciones. 2.3.1Contingencia por fallas de software, hardware o telecomunicaciones El procedimiento de Consulta de Archivo para el desarrollo de las actividades utiliza los aplicativos de mercurio y correo electrónico. Ante fallas tecnológicas se procede de la siguiente manera: 2.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Archivo. 2.3.1.2 El Coordinador del Grupo de Archivo informa la situación presentada al Coordinador de Infraestructura de la Dirección de Tecnología.
  • 84.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 84 de 123 2.3.1.3 El Coordinador de Infraestructura da respuesta sobre la gravedad del evento y tiempo de recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología. 2.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología (servidores backup, sistemas de recuperación de información, enlaces de comunicación), de ser necesario se da inicio a la contingencia manual relacionada a continuación: 2.3.2Contingencia manual para el procedimiento de Consulta de Archivo ante fallas tecnológicas CONDICIONES GENERALES La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas que se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que estos dos (2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al considerar el correo electrónico contingencia de comunicación del sistema mercurio. En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las contingencias estimadas: Falla en aplicativo de Contingencia estimada Solicitar a: Respuesta por: Mercurio Correo electrónico Correo electrónico archivo@icetex.gov.co Correo electrónico del solicitante Mercurio y correo electrónico Teléfono Outsourcing de Archivo Bogotá: Presencial Territoriales: Correspondencia Tabla No. 1 – Contingencia de Procedimiento de Consulta de Archivo La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s) supera el Tiempo Objetivo de Recuperación (RTO) del procedimiento de Consulta de Archivo. El Coordinador del Grupo de Archivo de Secretaria General informa a todas las áreas y Centros de Atención Nacional (CAN) el incidente e indica las instrucciones para operar con el procedimiento de contingencia y mecanismo de comunicación a utilizar de acuerdo con la anterior tabla. A continuación se describen los procedimientos a seguir en contingencia manual: 2.3.2.1 CONSULTA DE IMÁGENES
  • 85.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 85 de 123 Funcionario autorizado del área 2.3.2.1.1 Ante la necesidad de una copia de una imagen, el funcionario del área solicitante utiliza el medio de comunicación indicado por el Coordinador del Grupo de Archivo – Secretaria General, las cuales son:  Fallas en el sistema mercurio: Realice solicitud por correo electrónico al correo archivo@icetex.gov.co  Fallas en los sistemas mercurio y correo electrónico: Realice solicitud por teléfono al Outsourcing de Archivo. Los documentos que actualmente se encuentran digitalizados son títulos valores y carpetas de beneficiarios, en caso de requerirse un documento diferente a esta tipología, es necesario validarse previamente con el Coordinador del Grupo de Archivo. 2.3.2.1.2 La solicitud debe contemplar los siguientes datos:  Tipo de documento a requerir  Nombre y apellido del titular del documento  No. de identificación del titular del documento Outsourcing de Archivo 2.3.2.1.3 Recibir solicitud de copia de imágenes de documento (correo electrónico o vía telefónica). 2.3.2.1.4 Registrar información en el formato “Solicitud de Imágenes en Contingencia”. 2.3.2.1.5 Buscar documento en la base de datos de consulta de archivo. 2.3.2.1.6 Enviar copia de la imagen al funcionario solicitante a través de:  Solicitud efectuada por correo electrónico: Enviar al correo electrónico del solicitante.  Solicitud realizada por Teléfono: Informar por teléfono al funcionario solicitante acercarse a la Oficina del Outsourcing de Archivo a recoger copia de la imagen; en caso que el requerimiento sea de un Centro de Atención Nacional, se remite por correo interno la copia de la imagen. Funcionario autorizado del área 2.3.2.1.7 Recibir y visualizar copia de los documentos y resolver la consulta.
  • 86.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 86 de 123 2.3.2.2 PRESTAMO DE UN DOCUMENTO FISICO Funcionarios áreas 2.3.2.2.1 Solicitar la ubicación del mismo según las instrucciones suministradas por el Coordinador del Grupo de Archivo, de acuerdo con la situación presentada, pudiendo ser:  Fallas en la aplicación de mercurio: Emitir mensaje de solicitud de ubicación del documento, dirigido al correo electrónico: archivo@icetex.gov.co.  Fallas en los aplicativos de mercurio y correo electrónico: Consultar de forma personal. Outsourcing de Archivo 2.3.2.2.2 Recibir la solicitud de ubicación del documento y proceder a buscarlo en la base de datos del sistema de consulta de archivo, efectuando radicación en la Planilla de Préstamos. 2.3.2.2.3 Dar respuesta de los documentos encontrados por la misma vía que se solicitó:  Fallas en la aplicación de mercurio: Emitir mensaje de respuesta de ubicación del documento, dirigido al correo electrónico del funcionario solicitante.  Fallas en los aplicativos de mercurio y correo electrónico: Responde de forma personal o por teléfono al funcionario solicitante. 2.3.2.2.4 De no encontrarse la ubicación del documento, emitir certificación de no ubicación del documento y dirigirla al Coordinador del Grupo de Archivo de Secretaria General, quien procede a contestar por comunicación al área solicitante. Funcionarios de Áreas 2.3.2.2.5 Recibir respuesta con los datos de la ubicación del documento solicitado. 2.3.2.2.6 Diligenciar el formato Autorización de consulta al archivo (F228) y entregar dicho formato al Outsourcing de Archivo. Outsourcing de Archivo
  • 87.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 87 de 123 2.3.2.2.7 Recibir formato Autorización de consulta al archivo (F228) y ubicar documento en la base de datos del sistema de consulta de archivo. 2.3.2.2.8 Notificar por vía telefónica al funcionario solicitante de la ubicación del documento. 2.3.2.2.9 Diligenciar el formato “Control de préstamos de unidades documentales o expedientes” (F146). 2.3.2.2.10 Actualizar Base de Datos “Préstamos Icetex”, cambiando el estado del documento a “Listo entrega”. Funcionarios Áreas 2.3.2.2.11 Al recibir notificación, acercarse al Outsourcing de Archivo a recoger documento y firmar como “Recibido” en el formato “Control de préstamos de unidades documentales o expedientes” (F146). 2.3.2.2.12 Utilizar el documento y resolver la consulta. 2.3.2.2.13 Devolver documento al Area de Prestamos de Archivo. Outsourcing de Archivo 2.3.2.2.14 Recibir el documento y actualizar el estado a “Devuelto” en la Base de Datos “Préstamos Icetex”. 2.3.2.2.15 Enviar el documento a custodia. 2.3.2.2.16 Recibir unidades de conservación documental y archivar nuevamente. 2.3.2.2.17 Actualizar estado a “Disponible” en la Base de Datos “Préstamos Icetex”. 2.3.2.3. RETORNO A LA NORMALIDAD Coordinador Grupo de Archivo de Secretaria General 2.3.2.3.1 Una vez confirmado que la Oficina de Riesgos informa la solución del incidente en los aplicativos de mercurio y/o correo electrónico, el Coordinador del Grupo de Archivo
  • 88.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 88 de 123 informará a los usuarios de las áreas y Centro de Atención Nacional para que reanuden la operativa en este sistema. Outsourcing de Archivo 2.3.2.3.2 Actualizar el sistema mercurio con los préstamos de documentos físicos, tomando como referencia la base de datos de Préstamos Icetex. 3.HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 20/12/2012 Documento inicial
  • 89.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 89 de 123 CONTINGENCIA DE LA GUIA DE PAGO DE SERVICIOS PUBLICOS Y ADMINISTRACIONES – SECRETARIA GENERAL Macro proceso: Gestión Administrativa y Apoyo Logístico Proceso: Servicios Generales y Apoyo Logístico 1. OBJETIVO Describir la contingencia del procedimiento de Pago de Servicios Públicos y Administraciones, considerando los escenarios que causan de interrupción, los contactos de personal y los recursos mínimos necesarios. 2. ALCANCE El documento cubre la contingencia de pago de servicios públicos y administraciones urgentes de tramitar en un evento de interrupción de la operación. 3. EVENTOS DE CONTINGENCIA A continuación se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupción de la operación: 3.1 CONTINGENCIA POR AUSENCIA DE PERSONAL Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación: 3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo de Administración de Recursos Físicos de Secretaria General (Ver Planilla de Contactos Grupo de Recursos Físicos – Secretaria General). 3.1.2 El Coordinador del Grupo de Administración de Recursos Físicos activa la contingencia por “Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de información.
  • 90.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 90 de 123 3.1.3 El Coordinador del Grupo de Administración de Recursos Físicos verifica la continuidad exitosa de los procesos. 3.2 CONTINGENCIA DE LUGAR 3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario de nivel 3 – Coordinador del Grupo de Administración de Recursos Físicos del incidente ocurrido y las instrucciones de activación de la contingencia de lugar. 3.2.2 El Coordinador del Grupo de Administración de Recursos Físicos contacta al personal crítico (equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. 3.2.3 El Coordinador del Grupo de Administración de Recursos Físicos informa al Jefe de Riesgos o su suplente que ocupará los puestos de trabajo en el lugar alterno de trabajo. 3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Administración de Recursos Físicos solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los programas requeridos. 3.2.5 El Coordinador del Grupo de Administración de Recursos Físicos confirma al Jefe de Riesgos la correcta continuidad de los procesos. 3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo. 3.2.7 El Coordinador del Grupo de Administración de Recursos Físicos devuelve el “kit de contingencia” para su custodia nuevamente. 3.2.8 El Coordinador del Grupo de Administración de Recursos Físicos comunica al personal crítico el “Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”. 3.3 CONTINGENCIA POR FALLAS TECNOLOGICAS La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya interrupción prolongada de telecomunicaciones.
  • 91.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 91 de 123 3.3.1 Contingencia por fallas de software, hardware o telecomunicaciones El procedimiento de Pago de Servicios Públicos y Administraciones utiliza el aplicativo Apoteosys para el desarrollo de las actividades. Ante fallas tecnológicas se procede de la siguiente manera: 3.3.1.5 El usuario comunica el evento al Coordinador del Grupo de Administración de Recursos Físicos. 3.3.1.6 El Coordinador del Grupo de Administración de Recursos Físicos informa la situación presentada al Coordinador de Infraestructura de la Dirección de Tecnología. 3.3.1.7 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología. 3.3.1.8 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología (servidores backup, sistemas de recuperación de información, enlaces de comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la Oficina de Riesgos, relacionada a continuación: 3.3.2 Contingencia manual para el procedimiento de pago de servicios públicos y administraciones ante fallas tecnológicas CONDICIONES GENERALES La Oficina de Riesgos activa la contingencia cuando la recuperación del sistema Apoteosys supera el tiempo objetivo de recuperación (RTO) del procedimiento de Pago de Servicios Públicos y de Administraciones. El Coordinador del Grupo de Administración de Recursos Físicos de Secretaria General procede a informar a su Grupo de Trabajo el incidente y dar instrucciones para operar con el procedimiento de contingencia. Para el desarrollo de este procedimiento se requiere el formato manual de Orden de Pago. DESCRIPCIÓN DEL PROCESO Técnico / Secretaria General Grupo de Correspondencia / Líder Outsourcing / Puntos de Atención Nacional
  • 92.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 92 de 123  Para la recepción de facturas de pago de servicios públicos y administraciones de bienes inmuebles de la ciudad de Bogotá, se realizan las actividades del procedimiento “Correspondencia Externa”.  Para la recepción de las facturas de pago de servicios públicos y de administraciones de bienes inmuebles fuera de Bogotá, se realizan las actividades de la Guía “Preparación y Envío de Tulas”. Técnico / Secretaria General – Grupo de Administración de Recursos Físicos 3.3.2.1 Recibir facturas de pago de servicios públicos y administradores de bienes inmuebles y verificar que las mismas estén correctas. Si se llegara a presentar alguna inconsistencia se subsana comunicándose con la empresa prestadora del servicio. 3.3.2.2 Generar de forma manual la Orden de Pago de cada factura. 3.3.2.3 Firmar la Orden de Pago en señal de elaborado y presentarla para su revisión y aprobación al Aprobador y Ordenador del Gasto. 3.3.2.4 Registrar en el libro control de órdenes de pago de la Secretaria General, cada una de las órdenes de pago que se entregan al Grupo de Presupuesto de la Vicepresidencia Financiera. Continuar con las actividades de los procedimientos de Registro presupuestal de Obligaciones, Análisis contable de causaciones y cuentas por pagar y Giro. 4.HISTORIA DEL DOCUMENTO VERSIÓN FECHA OBSERVACIÓN 1 15/03/2013 Documento inicial
  • 93.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 93 de 123 8.3 ANEXOS DE PROCEDIMIENTOS 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO Director de Continuidad o Director de Continuidad Alterno 1. Activa la contingencia a sitio alterno. Jefe de Riesgos 2. Activa la cascada telefónica y comunica el evento de incidente mayor al Vicepresidente, Director o Jefe de cada área, quien a su vez informa al colaborador de siguiente jerarquía de su área acerca del incidente ocurrido y las instrucciones de activación de la contingencia de lugar. Secretaria General (Líder Administración Recuperación Infraestructura Física) 3. La Secretaria General con apoyo del Comité SARO-SARLAFT, contacta a los proveedores de las alternativas seleccionadas, definen el sitio alterno en el cual se mantendrá la operación de la Entidad en momento de contingencia. 4. Acuerda con el proveedor la utilización de sus instalaciones por el período de tiempo que dure la contingencia, según las necesidades del Icetex descritas por el Coordinador de Negocio y el Comité SARO-SARLAFT en ese momento. 5. Coordina el traslado del personal al centro de operaciones establecido para operar en contingencia. Coordinadores de recuperación del negocio 6. Convoca al personal identificado como personal crítico (equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. El equipo de recuperación se encuentra detallado en el documento “Cascada Telefónica”, que posee el Líder de PCN de cada área.
  • 94.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 94 de 123 7. Una vez instalados en el centro de operaciones alterno, realiza un chequeo del personal mínimo que se encuentra en el sitio, en caso de ser necesario llamará al personal suplente requerido. 8. Solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los programas requeridos. 9. Confirma al Director de Continuidad Alterno o su suplente la correcta continuidad de los procesos. Secretaria General (Líder Administración Recuperación Infraestructura Física) 10.Realiza una evaluación del sitio alterno, para validar que los recursos requeridos se encuentren disponibles en el sitio. Director de Continuidad o Director de Continuidad Alterno 11. Solicita a los diferentes Coordinadores de Recuperación un estado del evento y como ha transcurrido la operación en contingencia, se debe de usar el formato de Activación y Seguimiento de la Activación (detallado en el numeral 8.5.5). 12. El Comité SARO – SARLAFT analiza los resultados del estado de la contingencia y, procede a decidir:  “NO” terminar la contingencia: Los equipos de recuperación deben seguir ejecutando la operación en contingencia.  “SI” terminar la contingencia: Basado en la información suministrada por los Coordinadores y el análisis realizado por los miembros del Comité, el Director de Continuidad decide terminar la contingencia, da la orden de activar el proceso de retorno, confirma la disponibilidad y funcionabilidad del sitio normal de trabajo y se informa a los diferentes equipos la decisión. Coordinadores de recuperación del negocio 13. Devuelve el “kit de contingencia” para su custodia nuevamente. 14. Comunicar al personal que participó en la contingencia, el “Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.
  • 95.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 95 de 123 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS OBJETIVOS  Definir un procedimiento para la atención de los incidentes o problemas presentados en los sistemas o aplicativos que manejan las áreas usuarias.  Definir responsabilidades en cuanto a la declaración de contingencias por incidentes o problemas presentados. A continuación se detalla el procedimiento para el manejo de incidentes por problemas de sistemas: Colaborador del área 1. Detalla en forma precisa el evento o incidente que se presenta e informa al Líder de PCN de la dependencia. Líder PCN de área 2. Verifica si el mismo evento se le está presentando a otros colaboradores de la misma área y si sus tareas afectan a otras dependencias, se debe validar con las mismas si el problema es general. 3. Una vez tenga claridad sobre el evento que se está presentando y los colaboradores involucrados, debe clasificarlo teniendo en cuenta las siguientes definiciones para determinar si es un incidente o un problema:  Incidente: Afecta puntualmente a una persona o grupo de personas.  Problema: Afecta de manera general a todo el Icetex o a los clientes. 4. Ingresa en el aplicativo de reporte de incidencias del Instituto. Esto con el fin que la Dirección de Tecnología pueda dejar reportado el evento en el Control de Incidentes. 5. Envía al correo electrónico al Jefe de Riesgos y Coordinador de Infraestructura de la Dirección de Tecnología e informa el incidente de PCN. Coordinador de Infraestructura – Dirección de Tecnología
  • 96.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 96 de 123 6. Define la solución al incidente (tiempo y estrategia de recuperación) y da respuesta sobre la gravedad del evento y tiempo de recuperación. Si el daño es importante, el Director de Tecnología decide la activación del plan de contingencia de tecnología afectado (servidores backup, sistemas de recuperación de información, enlaces de comunicación), e informa al Director de Continuidad Alterno (Jefe de Riesgos). Director de Continuidad Alterno (Jefe de Riesgos) 7. Informa la situación al Líder de PCN del área afectada. 8. Si el tiempo de recuperación es menor al Tiempo Objetivo de Recuperación (RTO) del proceso afectado deberá esperar, de lo contrario declara la contingencia manual (cuando se cuente con ésta), mientras se soluciona definitivamente el incidente o problema presentado. Líder de PCN área afectada 9. Desarrolla la estrategia manual (Ver anexo 8.2, que contiene las contingencias manuales estimadas). Coordinador de Infraestructura – Dirección de Tecnología 10. Una vez solucionado el incidente o problema por parte de la Dirección de Tecnología, informa al Director de Continuidad Alterno (Jefe de Riesgos) y al Líder PCN del área afectada para que se levante la contingencia. Director de Continuidad Alterno (Jefe de Riesgos) 11. Solicita levantar la contingencia del incidente presentado y retorno a la normalidad. Líder PCN de área 12. Asegura el retorno a la normalidad de las operaciones de acuerdo con el numeral de “Retorno a la normalidad” de la estrategia manual establecida, ejecuta las acciones que permitan que los clientes no se vean afectados en los procesos del área, así como los reportes a entes reguladores.
  • 97.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 97 de 123 13. Una vez se haya solucionado el incidente, diligencia el formato “Reporte de incidente PCN” (ver numeral 8.5.2), lo entrega al Jefe de la Oficina de Riesgos, con copia al Líder del Proceso responsable del área afectada.
  • 98.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 98 de 123 8.4 ANEXOS DE TABLAS 8.4.1 TIPOS DE AMENAZA NATURALES INSTALACIONES SOCIAL TECNOLOGICAS OPERACIONALES Inundaciones Fuego Huelgas Virus Crisis financiera Desastre natural Explosión Epidemias Hacking Pérdida de suplidores Tornados Caída e energía Materiales peligrosos Pérdida de datos Fallas en equipos Huracanes Daño de agua Problemas de transporte Fallas de hardware Aspectos regulatorios Sismos Pérdida de acceso Pérdida de personal clave Fallas de software Mala publicidad Tormentas Falla mecánica Motines Fallas en la red Incendios Protestas Fallas en las líneas telefónicas Sabotaje Vandalismo Bombas Violencia laboral Terrorismo
  • 99.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 99 de 123 8.4.2 TIPOS DE VULNERABILIDADES FACTOR VULNERABILIDAD FACTOR VULNERABILIDAD Falta de administración del conocimiento Carencia de planes de emergencia y administración de crisis Carencia de capacitación y entrenamiento Exposición a incendios e inundaciones Insuficiencia capacidad de personas Fallas de potencia electrica Inadecuada preparación ante desastres Construcción inadecuada de edificios y centros de cómputo Falta de seguridad laboral y salud ocupacional Falta de controles medio ambientales Falta de pertenencia a la entidad y cultura en continuidad Ubicación del edificio Falta de segregación de funciones Fallas en construcción de edificaciones bajo normas de sismo resistencia y control de impactos de afectación física. Falla en la administración de proveedores de servicios profesioales Carencia de control de accesos en áreas críticas restringidas. Falta de políticas de comunicación formal Carencia de definición de planes de atención y evacuación ante conatos de incendio, amenazas de terrorismo, terremoto, o situaciones similares que ponen en riesgo las vidas humanas Falta de políticas de retención de personal Controles predictivos, preventivos o correctivos de fallas relacionadas con aire acondicionado, suministro de energía y potencia eléctrica requerida por equipos electrónicos o mecánicos. Otros Control proactivo de suministro de elementos críticos como agua, indispensables para mantener condiciones higiénicas dentro de las edificaciones, además de equipos de control de temperatura y ambiente. Otros Carencia de procesos de administración de servicios de IT de información Falta de administración Falta de estrategias de disponibilidad Falta de controles medioambientales Inadecuadas estrategias de recuperación Falta de procedimientos alternos Falta de acuerdos de servicio conproveedores Dependencia entre procesos Puntos únicos de falla en la infraestructura de IT Falla en la gestión de calidad (disciplina de registro, comunicación, documentación, integración, evaluación) Alta dependencia de proveedores Limitaciones de capacidad Inadecuado control, gestión y mantenimiento de servidores, bases de datos, redes, almacenamiento, aplicaciones y sistemas de información, información, archivos u operación de usuarios. Falta de definición de acuerdos de nivel de servicio Falta o inadecuados procesos definidos e implementados para el soporte del servicio /administración de incidentes, administración de cambios, administración de configuración, administración de Dependencia y falta de control de proveedores Falta o inadecuados procesos definidos e implementados para la entrega del servicio (administración de capacidad y desempeño, administración de continuidad de tecnología, administración de acuerdos de niveles de servicios). Falla en suministrar claridad en roles y responsabilidades relacionadas con las operaciones críticas Falla en el Inventario (stock) de componentes o partes críticas. Falta o fallas en acuerdos de servicios medibles y confiables con proveedores Ausencia de sitios alternos de procesamiento. Falta o fallas enla medición de tiempos y cantidad de recursos críticos Inadecuada capacidad de enlaces de trasmisión y redundancia. No se cuenta con jormadas de evacuación del edificio Falta de pruebas de recuperación y retorno, restauración de cintas de respaldo. Falta de respaldos de datos (tipo, frecuencia, SW, política de respaldo de datos, rotulado y rotación de cintas, ubicación de cintotecas. Falta o falla de centros de custodias (distancia, frecuencia de recolección, convenios). Falla en Requerimiento a proveedores (contingencias, sitios alternos). Otros INFRAESTRUCTURAFISICA PERSONASINFRAESTRUCTURATECNOLOGICA PROCESOS
  • 100.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 100 de 123 8.4.3 CRITERIOS DE FRECUENCIA FRECUENCIA DEFINICION CASOS /AÑO VALOR MUY BAJA Baja probabilidad de ocurrencia; ha sucedido o se espera que suceda menos de una vez en 20años Entre 0.00y 0.05 1 BAJA Limitada probabilidad de ocurrencia; sucede en forma esporádica, una vez entre los 5y los 20años. Entre 0.05y 0.2 2 MODERADA Mediana probabilidad de ocurrencia; sucede algunas veces, una vez entre 1y los 5años. Entre 0.2y 1.0 3 ALTA Significativa probabilidad de ocurrencia; sucede en forma reiterada, entre 1vez y 10veces al año Entre 1.0y 10 4 MUY ALTA Alta probabilidad de ocurrencia; ocurre en forma seguida, mas de 10veces al año. Más de 10 5
  • 101.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 101 de 123 8.4.4 CRITERIOS DE IMPACTO VL. ASOCIA DO CALIFICACION FINANCIERO PROCESO REPUTACIONAL LEGAL SERVICIO AL CLIENTE IMPACTO HUMANO INFRAESTRUCT URA FISICA 1 Insignificante Durante una interrupción de las operaciones normales cuya duración es mayor a 7 días, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos de hasta 1 hora. al interior del proceso. Durante una interrupción de las operaciones normales del procedimiento mayor a 7 días, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 7 días. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo es mayor a 7 días o el número de clientes externos afectados diariamente es igual o menor a 50. No se presenta problemas de seguridad y salud para los empleados No afecta las instalaciones físicas 2 Menor Durante una interrupción de las operaciones normales cuya duración es mayor a 48 horas hasta 7 días, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos mayor a 1 horas hasta 4 horas. A nivel de la entidad y conocimiento limitado de clientes. Durante una interrupción de las operaciones normales del procedimiento mayor a 48 horas hasta 7 días, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 48 horas hasta 7 días. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo mayores a 48 horas hasta 7 días o el número de clientes externos afectados diariamente es mayor a 50 hasta 500. Potencial por herida leve Acceso restringido a las instalaciones físicas (80%) 3 Moderado Durante una interrupción de las operaciones normales cuya duración es mayor a 24 horas hasta 48 horas, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos mayores a 4 horas y hasta 1 dia. El problema es de conocimiento de un número considerado de clientes. Durante una interrupción de las operaciones normales del procedimiento mayor a 24 horas hasta 48 horas, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 24 horas hasta 48 horas. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo mayores a 24 horas hasta 48 horas o el número de clientes externos afectados diariamente es mayor a 500 hasta 1000. Herida que requiere tratamiento de hospital a más de un miembro del personal. Reducción del personal a nivel local. Acceso restringido a las instalaciones físicas (60%) 4 Importante Durante una interrupción de las operaciones normales cuya duración es mayor a 4 horas hasta 24 horas, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos mayores a un día hasta 2 días. A nivel sectorial / Entes de control. Durante una interrupción de las operaciones normales del procedimiento mayor a 4 horas hasta 24 horas, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 4 horas hasta 24 horas. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo mayores a 4 horas hasta 24 horas o el número de clientes externos afectados diariamente es mayor a 1000 hasta 5000. Heridas significativas.muert e potencial. Reducción significativa de personal. Imposibilidad de acceso a instalaciones físicas 5 Masivo Durante una interrupción de las operaciones normales entre 0 y 4 horas, el Instituto podría perder una ganancia o dejaría de percibir ingresos a través de préstamos o productos que superan más de $170,000,000. Suspende la operación o genera reprocesos mayores a 2 días. Medios de comunicación. Durante una interrupción de las operaciones normales del procedimiento mayor a 0 horas hasta 4 horas, las sanciones por el incumplimiento podrían superar los $170,000,000 y/o el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto es mayor a 0 horas hasta 4 horas. El tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo es de 0 a 4 horas o el número de clientes externos afectados diariamente es mayor a 5000. Muertes y/o afectación total sobre las vidas del personal. Reducción amplia del personal. Destrucción total de instalaciones físicas NOTA: Contiene las variables de impacto aplicadas en el Análisis de Impacto del Negocio: Financiero, Proceso, Reputacional, Legal y de Servicio al Cliente Las variables de impacto de: Proceso y Reputacional, son las mismas que se definieron para la Administración del Riesgo Operativo - SARO Las variables de : Impacto humano e Infraestructura física deben ser contempladas por el tema de continuidad El valor asociado y la calificación son las mismas utilizadas para la administración del riesgo operativo - SARO, iniciando desde la calificación 1. CRITERIO DE IMPACTO RIESGO PLAN DE CONTINUIDAD DEL NEGOCIO
  • 102.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 102 de 123 8.5 ANEXOS FORMATOS 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA Fecha: Nombre Dependencia Nombre Area Gerente Dependencia Jefe Area Cargo Cargo Calificación BIA Tiempo Objetivo de Recuperación (RTO) Valor del BIA Procedimiento 1 Procedimiento 2 Procedimiento 3 Procedimiento 4 Procedimiento 5 Procedimiento 6 Procedimiento 7 Procedimiento 8 Procedimiento 9 Procedimiento 10 Líder PCN OBSERVACIONES Cargo Líder PCN ANALISIS DE IMPACTO DEL NEGOCIO ( BIA) Procedimiento No. Valoración del BIA Nombre del Procedimiento Ir a Parámetros ir a Cuestionario Ir a Sección Requerimientos Ir a Instrucciones Cuestionario
  • 103.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 103 de 123 Cuestionario BIA Regulatorio/Legal 1 2 3 El Instituto podría perder una ganancia de más de $170,000,000. 4 El Instituto dejaría de percibir ingresos, a través de préstamos o productos que superan los $170,000,000. 5 6 7 8 9 10 Nombre del procedimiento (Llenado Autmático) ImpactosparaseranalizadosporelÁreadeNegocio/Apoyo Clasificación Final Derivada BIA Evalue el efecto del impacto reputacional en cuanto a las opiniones de los clientes, sectores educativo y financiero y/o el publico en general. CompruebeDependencia- ParaserllenadoporPCN ¿Este procedimiento proporciona información crítica para cualquier otro procedimiento (Por favor, indique "Sí" o "No") El procedimiento tiene proveedores críticos. Durante una interrupción de las operaciones normales del procedimiento, describir el período en el que: Describa el periodo de tiempo dentro del cual el resultado de incumplimiento daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del Instituto. Por favor indique el nombre del procedimiento si la respuesta anterior es Sí Servicio a Cliente Externo ¿Cuál sería el impacto en otros procedimientos o áreas? Describa la importancia de las actividades de sus proveedores externos en sus procedimientos. Reputacional Proveedores Críticos ¿Cuál es el tiempo máximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo? Proveedores Tiempo Objetivo de Recuperación (RTO) Valor del BIA Proporcione la calificación BIA de acuerdo al procedimiento mencionado anteriormente. (Arriba) Describa el tiempo máximo tolerable que está dispuesto a perder de información de su procedimiento ante una interrupción en los sistemas de información. Durante una interrupción de las operaciones normales del procedimiento, describa el plazo en el cual las sanciones por el incumplimiento podría superar los $170,000,000. Financiero Número de clientes externos afectados diariamente Procedimientos
  • 104.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 104 de 123 Nombre del Procedimiento Número de funcionarios tiempo completo para ejecutar el procedimiento Número de funcionarios necesarios durante la recuperación Aplicación Critica - 1 Aplicación Critica - 2 Aplicación Critica - 3 Aplicación Critica - 4 Aplicación Critica - 5 Teléfono Interior Impresora Scanner Nombre del Procedimiento Dependencia del Proveedor Critico? Nombre del Proveedor Critico - 1 (si lo hay) Nombre del Proveedor Critico - 2 (si lo hay) Nombre del Proveedor Critico - 3 (si lo hay) Nombre del Proveedor Critico - 4 (si lo hay) Nombre del Proveedor Critico - 5 (si lo hay) Nombre del Proveedor Critico - 6 (si lo hay) Nombre del Proveedor NO Critico - 1 (si lo hay)
  • 105.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 105 de 123 Calificación BIA Tiempo Objetivo de Recuperación (RTO) Valor del BIA Procedimiento 1 Procedimiento 2 Procedimiento 3 Procedimiento 4 Procedimiento 5 Procedimiento 6 Procedimiento 7 Procedimiento 8 Procedimiento 9 Procedimiento 10 Firmas Detalles Jefe Área Líder BCP Firma Resultados del Análisis de Impacto de Negocio (BIA) <<AREA>> FECHA La información contenida en este documento es exclusivamente de <<AREA>>. Para llegar al nivel adecuado de preparación de la continuidad, la <<AREA>> ha respondido al Analisis de Impacto del Negocio e información para justificar el apoyo en cada una de las respuestas seleccionadas en el cuestionario BIA, así como la información de la Tecnología " Requisitos durante el desastre y la información sobre "Proveedores Críticos" de los procedimientos. Esta información será utilizada en toda la documentación de continuidad del negocio en el futuro. El área analizada <<No.>> procedimientos, se obtuvieron los siguientes resultados: Procedimiento No. Nombre del Procedimiento Valoración del BIA El resultado obtenido para cada uno de los procedimientos determina lo siguiente: * Calificación BIA: Indica la sensibilidad de tiempo entre los niveles Misión Crítica a insignificante. Esto se deriva a través de la realización del cuestionario BIA. • Periodo máximo tolerable de interrupción: El período de tiempo después de una interrupción, en el que el Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto significativo. • Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento de prioridades de recuperación durante una situación difícil. Conclusiones El BIA constituye un aporte fundamental para obtener la Estrategia para la Continuidad del Negocio. En función de la criticidad, una amplia gama de estrategias de Continuidad de Negocios se pueden implementar. Estas estrategias serán acordadas entre las Áreas de Negocio/Apoyo y el equipo de Plan de Continuidad de Negocio (PCN). De acuerdo con lo anterior, los procedimientos que se priorizan en la primera fase de revisión de las disposiciones del Plan de Continuidad de Negocios (PCN), serán los valores que aparecen en el BIA con valor <<Misión Critica>> y <<Masivo>> en el cuadro anterior. Nombre
  • 106.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 106 de 123 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA REPORTE DE INCIDENTES DE CONTINGENCIA Información de Identificación Fecha del incidente Hora de ocurrencia Duración del incidente Proceso afectado Nombre del área Lugar donde se presentó el incidente Descripción del Riesgo Descripción del Incidente (Problema ocasionado) Causas del Incidente Medidas contingentes adoptadas Acción Participantes Nombre Cargo Efectos en el Funcionamiento del Icetex Retorno a la Operación normal Lecciones aprendidas Elaborado por: Revisado por: Nombre Nombre Firma Firma
  • 107.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 107 de 123 8.5.3 CASCADA TELEFONICA CONTACTOS PERSONAL DEL AREA AREA: DEPENDENCIA: FECHA ACTUALIZACION: Rol Nombre Cargo Tel Interno Correo Electrónico Celular Casa CONTACTO PRINCIPAL EQUIPO RECUPERACION BRIGADISTA PERSONAL CRITICO (Reenviados a un sitio alterno de contingencia de corto tiempo) Contacto de Emergencia Primario para todas las áreas de negocio Contacto de Departamento Primario CascadaNivel 1 CascadaNivel 2- Contactarán alos Coordinadores de su área CascadaNivel 3- Contactarán al personal de sus propios grupo de cascada. Personal Personal Personal Personal Personal CASCADA TELEFONICA PCN PROCEDIMIENTO NOMBRES TELEFONO CASA TELEFONO CELULAR LISTA DE PERSONAL MINIMO POR PROCEDIMIENTO No. PERSONAS
  • 108.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 108 de 123 AREA FECHA ACTUALIZACION Proveedor Descripción Proveedor Dirección Procedimiento Contacto Principal Contacto Alterno Teléfono Oficina Teléfono Oficina Teléfono Movil Teléfono Movil Correo Correo Proveedor Descripción Proveedor Dirección Procedimiento Contacto Principal Contacto Alterno Teléfono Oficina Teléfono Oficina Teléfono Movil Teléfono Movil Correo Correo Proveedor Descripción Proveedor Dirección Procedimiento Contacto Principal Contacto Alterno Teléfono Oficina Teléfono Oficina Teléfono Movil Teléfono Movil Correo Correo LISTA DE CONTACTOS EXTERNOS
  • 109.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 109 de 123 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS Proceso/Producto/Servicio Duración Estimada Duración Real Lugar de Ejecución Comité de crisis lideres de operación EvaluadoresObservadores 5 MÉTODO AUSAR EN LAEJECUCIÓN DE LAPRUEBA Se describe de manera general el procedimiento a llevar a cabo para el eficaz desarrollo de la prueba. (Orden del día) Ejecutores ESCENARIO DE INTERRUPCIÓN 3 4 Describir los productos (output) que se esperan obtener al finalizar la ejecución de la prueba. RESULTADOS ESPERADOS Describir las circunstancias y/o los eventos de interrupción a considerar durante el desarrollo de la prueba con el fin de ambientar la situación bajo la cual el plan de contingencia podría ser activado para el proceso objeto de la prueba. 2 Tipo de prueba Código de Referencia de la prueba 1 OBJETIVOS ESPECÍFICOS (Enunciar las acciones y/o actividades a desarrollar para lograr el objetivo general de la prueba) ALCANCE Establecer los elementos que hacen parte del proceso o servicio objeto de la prueba. OBJETIVO GENERAL (Definir claramente lo que se quiere lograr con el desarrollo de la prueba) Procedimientos involucrados CONTROLDEPRUEBAS OBJETIVOS Fecha Programada (dd/mm/aa) Fecha de Ejecución (dd/mm/aa) Riesgos ResponsableRiesgo y/o Dificultades Impacto Acción Identificar y describir los riesgos asociados a la ejecución de la prueba. En la identificación se deben tener en cuenta aspectos como: la afectación del servicio, la imagen, las capacidades técnicas, entre otros. 6 Integrantes de las Pruebas (Nombres) 7 GUIÓN DE PRUEBA Plan de pruebas del BCP de KPMG ABCDABCD ESCRITORIO Responsables Completamente satisfactorio Completamente satisfactorio
  • 110.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 110 de 123 días 16/07/2010 8 ABCD Responsables Plan de pruebas del plan de Continuidad de Negocio Paso a Paso de la PLANEACIÓN Recursos mínimos necesarios 5 2. Observaciones de la Fase de Planeación de la Prueba ´1. Tiempo Ítem Descripción de la Actividad 1 Fecha y/o hora inicio Estimada / Real Fecha y/o hora finalización Estimada / Real 3. ABCD Fecha finalización y tiempo estimado 2 3 4 6 minutos ABCD Días/ Horas/ Minutos ABCD Paso a Paso de la EJECUCIÓN Observacionesde laFase de Ejecución de laPrueba 1. 2. Plan de pruebas del plan de continuidad de negocio Fecha finalización y tiempo estimado 3 2 1 Tiempo Ítem Descripción de la Actividad Fecha y/o hora finalizaciónResponsables Recursosmínimos Fecha y/o hora inicio
  • 111.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 111 de 123 ABCD 0 ABCD n Plan de pruebas del plan de continuidad de negocio Observaciones de la Fase de Retorno a la Operación Normal 1. 2. Fecha y/o hora finalización Tiempo Días/ Horas/ Minutos Ítem Descripción de la Actividad Responsables Recursosmínimos Fecha y/o hora inicio 1 No aplica (N/A) Paso a Paso del RETORNO Fecha finalización y tiempo estimado 3 2
  • 112.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 112 de 123 dd mm aa Lugar de la prueba Cargo Comentarios y/o Recomendaciones ¿Identificó oportunidades de mejora en cuanto al tiempo empleado en la ejecución de la prueba? Sí No Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la administración del tiempo durante la ejecución de la prueba. La duración de la prueba fue:(Marque con una X) En la realización de las pruebas son muy importantes sus comentarios y recomendaciones. Estos ayudan a mejorar y actualizar el programa de continuidad de negocio. Por favor escoja la respuesta adecuada y suministre cualquier comentario adicional. Excesivamente larga Por debajo del tiempo estimado Adecuada Excesivamente corta Sobrepasó el tiempo estimado 1 Evaluador FIRMA ABCD ENCUESTA DE SATISFACCIÓN Informacióngeneral Proceso/Producto/Servicio Evaluación Plan de pruebas del plan de Continuidad de Negocio ABCD Tipo de Integrante (Señale con una X) EjecutorEscritorio Por componentes Integrada Planeación Prueba No. Fase en la que participó Tipo de Prueba (Señale con una X) Ejecución Retorno Fecha Duración de la prueba Observador Nombres y Apellidos Institución
  • 113.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 113 de 123 ¿Identificó oportunidades de mejora en cuanto al escenario definido para el desarrollo de la prueba y en cuanto a los recursos mínimos utilizados en la misma? Sí No Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer y mejorar el escenario definido para el desarrollo y los recursos mínimos utilizados en el desarrollo de la misma. Comentarios y/o Recomendaciones Comentarios y/o Recomendaciones 3 2 ¿Cómo fueron las instrucciones que recibió para ejecutar la prueba? (Marque con una X) Muy básicas Apropiadas y fáciles de entender Adecuadas Muy complejas Inapropiadas e insuficientes Identificó oportunidades de mejora en cuanto a la forma como fueron comunicadas las instrucciones para participar en la prueba? Sí No Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la definición de las instrucciones y la forma como deben ser comunicadas a los participantes. ¿Fue suficientemente realista la prueba para validar la efectividad del plan y/o procedimientos contingentes? (Marque con una X) Completamente en desacuerdo De acuerdo Completamente deacuerdo En desacuerdo
  • 114.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 114 de 123 4 ¿Cuántos problemas y/o debilidades y/o aspectos por mejorar identificó durante el desarrollo de la prueba? (Marque con una X) De 1 a 2 De 5 a 6 Ninguno De 3 a 4 Más de 6 Por favor mencione los problemas y/o debilidades y/o aspectos por mejorar que identificó: Comentarios y/o observaciones Si identificó problemas y/o debilidades y/o aspectos por mejorar por favor enuncie algunas recomendaciones para fortalecer dichos aspectos. No 6 ¿Que tan efectiva fue la prueba? (Marque con una X) Poco efectiva Medianamente efectiva Muy Efectiva Satisfactoria Efectiva Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema. 5 ¿Se alcanzaron los objetivos de la prueba? (Marque con una X) Sí No Parcialmente Sin información Si su respuesta anterior fue No o Parcialmente, por favor describa las razones por las cuales ud. cree que no se alcanzaron satisfactoriamente los objetivos trazados para esta prueba. Comentarios y/o Recomendaciones Comentarios y/o Recomendaciones Identificó oportunidades de mejora en cuanto a la efectividad de la prueba? Sí
  • 115.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 115 de 123 7 Califique la efectividad de los procedimientos (Paso a Paso) establecidos en cada una de las etapas para llevar a cabo la prueba (Marque con una X) Poco efectivos Poco Efectivos Poco Efectivos Medianamente Medianamente Efectivos Efectivos Efectivos Satisfactorios Satisfactorios Satisfactorios Efectivos Efectivos Efectivos Sí No Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema. 8 ¿Cúal es su calificación general del desarrollo de la prueba respecto a los resultados obtenidos? (Marque con una X) Completamente satisfactorio Adecuado Insatisfactorio Comentarios y/o Recomendaciones Fase de planeación Fase de Ejecución Fase de Retorno Comentarios y/o Recomendaciones ¿Identificó oportunidades de mejora en cuanto a la efectividad de los procedimientos (Paso a Paso) definidos para llevar a cabo la prueba?
  • 116.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 116 de 123 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN Activación Hora DD/MM/AA Retorno Hora DD/MM/AA Finalización Hora DD/MM/AA Activación de los planes de: COMUNICACIÓN DE LA ACTIVACIÓN DEL PLAN Cargo Informado No informado Secretaria General Informado No informado El Presidente del Icetex Secretaria General Vicepresidente Financiero Vicepresidente de Crédito y Cobranza Vicepresidente de Fondos en Administración Director de Tecnología Jefe de la Oficina Jurídica Oficial de Cumplimiento Jefe Oficina de Riesgos Jefe de la Oficina de Control Interno Jefe Oficina de Comunicaciones FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN Observación (describa la hora vs las actividades y/o decisiones tomadas Hora Actividad
  • 117.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 117 de 123 8.6 ANEXOS RESULTADOS 8.6.1 EQUIPO DE TRABAJO DEL PCN Dependencia Area Líder PCN Líder Proceso Vicepresidencia de Crédito y Cobranza Natalia Caycedo Edith Cecilia Urrego Herrera Grupo de Crédito María Victoria Camargo Grupo de Cartera Ofrey Marin Saenz Vicepresidencia de Fondos en Administración Diana Patricia Olaya Campo Elias Vaca Perilla Oficina de Relaciones Internacionales Diana Carolina Gómez William Barreto Oficina Comercial y Mercadeo Luyfer Osorio Andres Felipe Murillo Vicepresidencia Financiera Grupo de Presupuesto Jorge Nelson Gaitan Leon Wilson Eduardo Pineda Jorge Nelson Gaitan Leon Dirección de Contabilidad Jorge Enrique Molina Ramírez Wilson Eduardo Pineda Dirección de Tesorería Catalina Peña José Gómez Wilson Eduardo Pineda Ana Cecilia Arboleda Marín Oficina Asesora Jurídica Ricardo Cortés Pardo Campo Elias Vaca Perilla Dirección de Tecnología Victor Raul Bautista Galindo Francisco Pulido Fajardo Oficina Asesora de Comunicaciones Andres Mauricio Rivera Sánchez Amanda Ramírez Secretaria General Coordinadora Grupo de Contratos Ingrid Marcela Garavito María Eugenia Méndez Munar Coordinadora Grupo Correspondencia Luz Marielly Morales Coordinador Grupo de Archivo Gerardo Alonso Rodríguez Pineda Coordinadora Grupo Talento Humano Miryam Cardona Giraldo Coordinador Grupo Recursos Físicos Gloria Nancy Méndez Ibañez Oficina de Riesgos Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez Oficial de Cumplimiento Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez Oficina Asesora de Planeación Edgar Fabio Díaz Ramírez Rodrígo Fernando Acosta Trujillo Oficina de Control Interno Carlos Eduardo Cruz Luz Alba Sánchez Sánchez
  • 118.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 118 de 123 8.6.2RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA Se adelantó la Evaluación BIA, aplicando la metodología establecida en el Icetex, se llevó a cabo con la participación de la Oficina de Riesgos, los Líderes de PCN y de Proceso. Este análisis contiene: PROCESOS Y PROCEDIMIENTOS ANALIZADOS El Grupo de Trabajo de PCN analizó la totalidad de los procesos con los que cuenta la Entidad, revisando 134 procedimientos. Tal evaluación fue validada y aprobada por los Lideres del Proceso y en constancia firmaron el Acta resumen correspondiente. Estos procedimientos fueron calificados como se ilustra en el siguiente cuadro, los cuales están agrupados por tipo de proceso: Los resultados indican que los procedimientos calificados en: Nivel 1AAA, Nivel 1AA, Nivel 1ª y Nivel 2, cuyo tiempo objetivo de recuperación (RTO) oscila entre 4 y 48 horas son considerados como críticos – prioritarios para la Entidad, suman 32 procedimientos y es de vital importancia establecer la estrategia de continuidad para cada uno de estos procedimientos. Los restantes 102 procedimientos fueron calificados entre los niveles 3 al 6, lo que indica que permiten un tiempo mayor de recuperación. Los procedimientos calificados como críticos son: TIPO PROCESO NO. PROCESOS Nivel 1AAA 4 horas Misión Crítica Nivel 1AA 8 horas Misión Crítica Nivel 1A 24 horas Masivo Nivel 2 48 horas Masivo Nivel 3 7 días Medio Nivel 4 14 días Medio Nivel 5 30 días Bajo Nivel 6 >30 días Insignificante MISIONAL 14 38 1 1 4 14 7 7 4 APOYO 19 68 1 11 9 17 10 11 9 ESTRATEGICOS 7 24 2 2 8 6 6 EVALUACION 1 4 1 2 1 TOTAL 41 134 1 1 15 15 31 25 26 20 NIVEL DE CALIFICACION BIA POR PROCEDIMIENTO VALOR BIA: RTO: CALIFICACION BIA:
  • 119.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 119 de 123 TIEMPO OBJETIVO DE RECUPERACION – PROCEDIMIENTOS PRIORITARIOS PARA LA ENTIDAD A continuación se detalla los procedimientos críticos y sus necesidades de recursos, de acuerdo con la calificación BIA obtenida: NIVEL 1ª MASIVOS – TIEMPO DE RECUPERACION MENOR A 24 HORAS A continuación se detallan los procedimientos críticos que requieren de un tiempo de recuperación menor a 24 horas y los recursos que se necesitan para operar: N - 1AAA 4horas Misión crítica Atención al cliente Otorgamiento de becas colombianos en el exterior N - 1AA 8horas Misión crítica Cumplimiento de operaciones de inversión Otorgamiento de becas posgrados para extranjeros en Colombia Gestión de legalización y renovación para aprobación del desembolso Cierre de cartera Actualización de contenidos en lapáginaWeb Facturación época de estudios, período de gracia y amortización Custodiade Garantías Base de datos Suscripción y legalización de contrato, convenio, ordenes de servicio y/o compra Soporte aInfraestructura Gestión de correspondenciaexterna Atención acciones de tutela Registro presupuestal de compromisos Consultade archivo Registro presupuestal de obligaciones Apoyo logístico Causaciones y cuentas porpagar Liquidación de nómina Generación de información exógena, elaboración y transmisión de información Expedición del certificado de disponibilidad presupuestal Presentación y pago de impuestos Análisis contable con sus contrapartidas críticas Giro Cierre contable mensual Servicio aladeuda Aplicación del modelo de referenciade carteracomercial Gestión de incidentes de seguridad Medición, transmisión y seguimiento del VaR Gestión de vulnerabilidades Requerimientos Entes de Control NIVEL PROCEDIMIENTO Nivel 2 48horas Masivo NIVEL1A 24horas Masivo NIVEL PROCEDIMIENTO
  • 120.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 120 de 123 NIVEL 2 – MASIVOS – TIEMPO DE RECUPERACION 48 HORAS Con esta calificación fueron evaluados quince (15) procedimientos, los cuales se detallan a continuación con los recursos necesarios para operar: RECURSO HUMANO RECURSO HUMANO OUTSOURCING COMPUTADOR TELEFONO IMPRESORA ESCANER 1 Gestion de legalización y aprobación del desembolso 8 8 3 SI SI <=24 Horas C&CETEX Cobol 2 Actualización de contenidos en Página Web 1 1 1 SI <= 24 horas Internet Office Correo electrónico 3 Registro presupuestal de compromisos 2 1 1 SI <= 8 horas Apoteosys 4 Registro presupuestal de obligaciones 0 SI <= 24 horas Apoteosys 5 Causaciones y cuentas por pagar 1 1 <= 24 horas Apoteosys 6 Presentación y pago de impuestos 1 <= 24 horas Apoteosys 7 Generación de información exógena, elaboración y transmisión de información 1 <= 24 horas Apoteosys 8 Giro 2 1 1 SI SI <= 4 Horas Apoteosys Office Internet 9 Servicio a la deuda 1 1 SI SI <= 4 Horas Office Internet 10 Gestion de correspondencia externa 2 1 1 SI SI <= 4 Horas Mercurio 11 Custodia de garantias 1 3 1 1 SI <= 8 horas Mercurio SGD V2.0 -MTI Página Web 12 Suscripción y legalización de contrato, convenio, ordenes de servicio y/o compra 2 2 SI <= 4 Horas Correo electrónico Office 13 Gestión de incidentes de seguridad 1 1 1 SI <= 24 horas Correo electrónico 14 Gestion de vulnerabilidades 1 1 SI <= 24 horas Gestor de Vulnerabilidades MacAFFE 15 Requerimientos Entes de Control 2 2 1 SI SI <= 24 horas C&CETEX Apoteosys Cobol Total Requerimientos 26 3 21 10 PROCEDIMIENTONo. PRINCIPALES APLICATIVOS REQUERIDOS BIENES MUEBLESRECURSO HUMANO RPO
  • 121.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 121 de 123 RESUMEN DE INFRAESTRUCTURA REQUERIDA Durante la actividad BIA se identifica la infraestructura requerida para el desarrollo de todos y cada uno de los procedimientos y especialmente los críticos, lo que permite enfocar los esfuerzos de prevención y recuperación sobre los elementos críticos de la infraestructura. RECURSO HUMANO RECURSO HUMANO OUTSOURCING COMPUTADOR TELEFONO IMPRESORA ESCANER 1 Otorgamiento de becas colombianos en el exterior 2 2 1 SI <= 4 Horas Bizagi C&CETEX Fox-Pro 2 Otorgamiento de becas posgrados para extranjeros en Colombia 1 1 1 > 30 días Bizagi Apoteosys Correo electrónico 3 Cierre de cartera 1 2 1 <= 24 horas C&CETEX Apoteosys Correo electrónico 4 Facturación epoca de estudios, período de gracia y amortización 1 1 <= 24 horas C&CETEX Correo electrónico Office 5 Atención acciones de tutela 3 3 1 SI SI <= 24 horas Mercurio C&CETEX Correo electrónico 6 Expedición del certificado de disponibilidad presupuestal 0 0 0 SI <= 8 horas Apoteosys Correo electrónico Office 7 Análisis contable con sus contrapartidas críticas 1 1 <= 24 horas Apoteosys Correo electrónico 8 Cierre contable mensual 1 1 1 SI <= 24 horas Apoteosys C&CETEX Correo electrónico 9 Consulta de archivo 1 3 1 1 SI <= 8 horas Mercurio SGD V2.0 -MTI Correo electrónico 10 Liquidación de nómina 2 2 1 SI > 30 días Queryx SRH Correo electrónico Office 11 Apoyo logístico 2 2 1 SI <= 48 horas Office Apotesoys Correo electrónico 12 Base de datos 1 1 <= 24 horas Oracle TOAD 13 Soporte Infraestructura 1 6 2 1 <= 48 horas Correo electrónico 14 Aplicación del modelo de referencia de cartera comercial 1 1 <= 24 horas Office Correo electrónico 15 Medición, transmisión y seguimiento del VaR 1 1 <= 24 horas Internet Sevinpro IG Metrica Total Requerimientos 19 11 20 8 PROCEDIMIENTO PRINCIPALES APLICATIVOS REQUERIDOS BIENES MUEBLESRECURSO HUMANO RPONo.
  • 122.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 122 de 123 En la siguiente tabla se desprende la síntesis de los recursos requeridos en contingencia, clasificados por Calificación BIA, con el fin de dimensionar las necesidades de infraestructura de acuerdo con el apetito al riesgo para el PCN de estos procesos ante un evento de interrupción desde un sitio alterno: Resumen de Infraestructura requerida Dado que se encuentra clasificado por niveles de prioridad de los procedimientos para continuidad, es posible tomar distintas decisiones del alcance del PCN. De acuerdo con el propósito de tener estrategia de continuidad bajo el escenario de Interrupción de Lugar para los 32 procedimientos calificados como críticos (cuyo tiempo objetivo de recuperación comprende de 4 a 48 horas), es necesario operar con: 51 puestos de trabajo para ese mismo número de colaboradores 47 computadores 27 teléfonos 5 impresoras 3 escáneres PUNTO OBJETIVO DE RECUPERACION – RPO El cuestionario BIA midió el tiempo tolerable en que la Entidad está dispuesta a perder de información ante una interrupción en la tecnología de información por fallas. Los resultados arrojados son los siguientes: RECURSO HUMANO RECURSO HUMANO DE OUTSOURCING COMPUTADOR TELEFONO IMPRESORA ESCANER RECURSO HUMANO RECURSO HUMANO DE OUTSOURCING COMPUTADOR TELEFONO IMPRESORA ESCANER N - 1AAA 4 horas Misión crítica 6 7 6 5 1 1 6 7 6 5 1 1 N - 1AA 8 horas Misión crítica 2 0 1 1 0 0 8 7 7 6 1 1 N - 1A 24 horas Masivo / alto 24 3 19 12 2 2 32 10 26 18 3 3 Nivel 2 48 horas Masivo / alto 19 8 21 9 2 0 51 18 47 27 5 3 Nivel 3 7 días Medio 20 681 18 7 0 0 71 699 65 34 5 3 Nivel 4 14 días Medio 10 11 10 4 0 0 81 710 75 38 5 3 Nivel 5 30 días Bajo 12 3 12 2 0 0 93 713 87 40 5 3 Nivel 6 > 30 días Insignificante 14 0 14 3 0 0 107 713 101 43 5 3 107 713 101 43 5 3 TOTALES POR NIVELES DE CALIFICACION BIA NIVEL RECURSO HUMANO BIENES MUEBLES RECURSOS POR NIVELES DE CALIFICACION BIA BIENES MUEBLESRECURSO HUMANO
  • 123.
    Código: MANUAL DE ADMINISTRACIONDEL PLAN DE CONTINUIDAD DEL NEGOCIO Versión: 1 Fecha: 30/05/13 Página: 123 de 123 Los restantes 34 procedimientos fueron evaluados para un RPO mayor a 24 horas. Actualmente el Icetex realiza backups de la información a los aplicativos con una frecuencia de cada 24 horas. Como se aprecia en el cuadro, el Grupo de Trabajo de PCN en un 50% considera adecuado la protección de datos cada 24 horas y en un 25% hasta puede superar la periodicidad de protección de ese tiempo; la diferencia del 25% requiere backup con frecuencia inferior al día. Esta información es significativa para la Entidad para el establecimiento de estrategias y políticas de backup de la información. APLICATIVOS CRITICOS Con la información de los Requerimientos Tecnológicos se logró establecer la criticidad de los aplicativos de acuerdo con el uso en los procedimientos, resultado que permite confirmar la necesidad de mantener una adecuada política de protección de los datos de los aplicativos y su contingencia siendo el resultado el siguiente: 26 Procedimientos requieren que el 7 Procedimientos requieren que el 67 Procedimientos requieren que el RPO <= 4 Horas RPO <= 8 Horas RPO <= 24 Horas 19% 5% 50% Aplicativos implicados Aplicativos implicados Aplicativos implicados C&CETEX MERCURIO C&CETEX APOTEOSYS APOTEOSYS APOTEOSYS MERCURIO MERCURIO BIZAGI MAC PAGINA WEB IG METRICA SEVINPRO REPORTEADOR DECEVAL ORACLE Aplicativo Procedimientos Observaciones PAGINA WEB 12 Durante el período 14/05/2012 - 16/07/2012 se realizaron 2.598.956 visitas a la Página Web del Icetex, efectuada por 1.265.725 usuarios (promedio de 2 visitas por usuario). CORREO ELECTRONICO 102 C&CETEX 56 OFFICE 47 APOTEOSYS 32 INTERNET 25 MERCURIO 12 COBOL 9 IG METRICA 6 BIZAGI 5 UTILIZACION DE LOS APLICATIVOS EN LOS PROCEDIMIENTOS