manual de administracion del plan de continuidad de negocios

Código:

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO

Versión: 1

Fecha: 30/05/13

Página: 1 de 123

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS

INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX

Mayo de 2013

Código:


Versión: 1

Fecha: 30/05/13

Página: 2 de 123

Contenido

1 INTRODUCCION 4

2 OBJETIVOS 4

2.1 OBJETIVO GENERAL 4

2.2 OBJETIVOS ESPECIFICOS 4

3 ALCANCE 5

4 CONCEPTOS BASICOS 5

5 CAUSAS DE INTERRUPCION 7

6 GOBIERNO DE CONTINUIDAD 8

6.1 LINEAMIENTOS 8

6.2 NORMAS EXTERNAS 9

6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10 6.3.1 COMITE SARO - SARLAFT 10 6.3.2 LIDERES PCN 14 6.3.3 OFICINA DE RIESGOS 15

6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15

6.5 ENTRENAMIENTO 15

7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17

7.1 FASE DE PREVENCION 17 7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 17 7.1.2 ETAPA DE ANALISIS DE RIESGOS 23 7.1.3 ETAPA DE ESTRATEGIA 30 7.1.4 ETAPA DE PRUEBAS 34 7.1.5 ETAPA DE MANTENIMIENTO 37

7.2 FASE DE ADMINISTRACION DE CRISIS 38 7.2.1 CONCEPTO 38 7.2.2 OBJETIVOS 38

Código:


Versión: 1

Fecha: 30/05/13

Página: 3 de 123

7.2.3 ALCANCE 38

8 ANEXOS 39

8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39

8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51

8.3 ANEXOS DE PROCEDIMIENTOS 93 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 93 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 95

8.4 ANEXOS DE TABLAS 98 8.4.1 TIPOS DE AMENAZA 98 8.4.2 TIPOS DE VULNERABILIDADES 99 8.4.3 CRITERIOS DE FRECUENCIA 100 8.4.4 CRITERIOS DE IMPACTO 101

8.5 ANEXOS FORMATOS 102 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 102 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 106 8.5.3 CASCADA TELEFONICA 107 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 109 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 116

8.6 ANEXOS RESULTADOS 117 8.6.1 EQUIPO DE TRABAJO DEL PCN 117

117 8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA 118

Código:


Versión: 1

Fecha: 30/05/13

Página: 4 de 123

1 INTRODUCCION

El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un

incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el

menor tiempo posible, garantizando la continuidad del instituto.

La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa,

para responder organizadamente a eventos que interrumpen la normal operación de sus

procesos y que pueden generar impactos sensibles en el logro de los objetivos.

El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad

de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte

del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la

prevención y atención de emergencias, administración de la crisis, planes de contingencia y

capacidad de retorno a la operación normal.

2 OBJETIVOS

2.1 OBJETIVO GENERAL

Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y

mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la

atención de clientes y la operación.

2.2 OBJETIVOS ESPECIFICOS

Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la

integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena

administración de la crisis.

Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio.

Asegurar una pronta restauración de las operaciones afectadas por el evento.

Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.

Código:


Versión: 1

Fecha: 30/05/13

Página: 5 de 123

Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera

de Colombia.

3 ALCANCE

La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la

organización para poder continuar operando durante un incidente o desastre, a través de la

implementación de un plan de continuidad, el cual contempla los lineamientos de administración

de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las

metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes

de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad.

De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades

con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad

física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los

mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de

crisis y los demás sistemas de gestión.

4 CONCEPTOS BASICOS

Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado,

transversal a toda la organización, que permite mantener alineados y vigentes todas las

iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad

del negocio.

Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo.

Abarca las personas, procesos de negocios, tecnología e infraestructura.

Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el

cual puede causar interrupción o reducción en la calidad del servicio y en la productividad.

Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o

más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un

incidente o un desastre.

Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

Código:


Versión: 1

Fecha: 30/05/13

Página: 6 de 123

Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción1.

Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los

servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una

afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del

negocio.

Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de

recuperación de cada área, determinando el impacto en caso de interrupción.

Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora

y en el futuro, igual que los recursos necesarios para su uso2.

Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como

una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.

Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser

causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los

intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de

software, entre otros.

Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias

vulnerabilidades con impactos adversos resultantes para la Entidad.

Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los

factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la

naturaleza de la vulnerabilidad.

Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del

riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de

respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación

1 Concepto tomado del Capítulo XXIII – Reglas relativas a la administración del riesgo operativo – de la Circular

Básica Contable de la Superfinanciera. 2 Concepto tomado del Capítulo XII – Requerimientos mínimos de seguridad y calidad en el manejo de

información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica Jurídica de la Superfinanciera.

Código:


Versión: 1

Fecha: 30/05/13

Página: 7 de 123

física a personas. Mide el nivel de degradación de uno de los siguientes elementos de

continuidad: Confiabilidad, disponibilidad y recuperabilidad.

Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para

minimizar el riesgo o potenciar oportunidades positivas.

Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin

controles.

Riesgo residual: Riesgo remanente tras la aplicación de controles.

5 CAUSAS DE INTERRUPCION

Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones

y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten.

Estas se pueden unificar en los siguientes escenarios:

Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el

proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.

No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre

natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre

otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades

propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso

crítico se debe contar con un sitio alterno de trabajo, el cual puede ser:

• Suministrado por la Entidad, Ejemplo: Otra sede.

• Suministrado por un proveedor, contratista o aliado estratégico.

Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta

falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos

corruptos, fallos de componentes, falla de aplicaciones y/o error humano.

No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del

proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no

realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el

proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado,

adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el

Icetex.

Código:


Versión: 1

Fecha: 30/05/13

Página: 8 de 123

6 GOBIERNO DE CONTINUIDAD

6.1 LINEAMIENTOS

El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias

para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se

declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su

impacto sobre el negocio.

Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose

en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:

El plan de continuidad de negocio está orientado a la protección de las personas, así como al

restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos

de interrupción o desastre.

Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos

definidos y conocer claramente los roles y responsabilidades que le competen en el marco de

la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de

los Planes de Contingencia del Negocio.

En caso de presentarse un incidente significativo se deben aplicar los mecanismos de

comunicación apropiados, tanto internos como externos, de acuerdo con el manual de

Comunicación en Situaciones de Crisis.

Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de

la Entidad, con la guía y coordinación de la Oficina de Riesgos.

Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es

responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios

para el área que representa.

Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la

siguiente frecuencia:

o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un

Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus

necesidades.

Código:


Versión: 1

Fecha: 30/05/13

Página: 9 de 123

o El monitoreo a los riesgos de continuidad se efectuará de manera semestral.

o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas.

o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como

resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de

contingencia.

Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en

los Planes de Continuidad del Negocio.

La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación de Tolerable.

Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben

disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe

solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura

del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los

servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos

debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan.

Los planes de contingencia deben mantenerse actualizados, para lo cual se deben

desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos

en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen

las áreas involucradas.

6.2 NORMAS EXTERNAS

La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se

normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un

Plan de Continuidad de Negocios, que cumplan con los siguientes elementos:

Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un

proceso para administrar la continuidad del negocio que incluya la prevención y atención de

emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la

operación normal.

Circular 038/2009 – Sistema de Control Interno: Implementar, probar y mantener un

proceso para administrar la continuidad de la operación de la entidad para responder a las

fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la

normalidad.

Código:


Versión: 1

Fecha: 30/05/13

Página: 10 de 123

Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y

continuidad debidamente documentados. Las entidades deberán verificar que los planes, en

lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.

Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de

buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de

riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e

ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este

documento.

6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO

Para asegurar una adecuada administración de la continuidad del negocio se estableció un

estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de

Proceso, como de la Alta Gerencia. Esa administración está conformada por:

6.3.1 COMITE SARO - SARLAFT

La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de

promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO

– SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es

responsable de administrar la continuidad de la operación del Instituto. A continuación se

mencionan los integrantes del comité, su rol y responsabilidad frente a este item:

COMITÉ SARO – SARLAFT ROLES DE CONTINGENCIA

Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad

Jefe de Riesgos Director Alterno de Continuidad

Secretaria General Líder de Administración /Recuperación

Infraestructura Física

Director de Tecnología Líder de Recuperación Tecnológica

Vicepresidente Financiero Coordinadores de Recuperación

Vicepresidente de Crédito y Cobranza

Vicepresidente de Fondos en Administración

Jefe de Control Interno Tareas de apoyo, control y

cumplimiento

Jefe Oficina Asesora Jurídica

Oficial de Cumplimiento

Coordinador de Riesgos de Crédito y Operativo

Jefe oficina Asesora de Comunicaciones (Su participación

será por solicitud del Comité SARO-SARLAFT)

Asesor de Comunicaciones

Roles de Miembros de Comité SARO - SARLAFT

Código:


Versión: 1

Fecha: 30/05/13

Página: 11 de 123

En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios

responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de

Comunicaciones.

A) ROLES Y RESPONSABILIDADES

A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo

respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus

suplentes (alternos) tienen las mismas responsabilidades.

Director de Continuidad El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de

continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de

interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO-

SARLAFT o en situaciones donde amerite realizar su activación inmediata.

Responsabilidades

Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de

actualizar, mantener y probar el plan de continuidad.

Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de

recuperación y contingencia de la entidad.

Liderar las reuniones del Comité SARO – SARLAFT.

Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la

entidad y que ponen al descubierto debilidades del plan de continuidad.

Monitorear los reportes sobre el estado de recuperación o evaluación durante una

contingencia.

Velar por la seguridad del personal que actúa en el área del evento.

Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario

de interrupción de lugar teniendo en cuenta el resultado de la evaluación

Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la

contingencia.

Director Alterno de Continuidad

Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste

no se encuentre disponible.

Código:


Versión: 1

Fecha: 30/05/13

Página: 12 de 123

Es responsable de declarar la contingencia ante un incidente tecnológico de algún

aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de

Tecnología.

Realizar las actividades que le sean asignadas por el Director de Continuidad.

Líder Administrativo El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad

se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las

instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la

operación.

Responsabilidades

Coordinar el suministro de elementos esenciales como transporte, recursos de

infraestructura y papelería.

Gestionar la consecución y adecuación de los centros alternos de operaciones según el

plan de operaciones en contingencia.

Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros.

Líder de Recuperación Tecnológica Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de

continuidad implementadas. Es el contacto directo entre la Dirección de Tecnología y el

Comité SARO - SARLAFT; además, apoya las decisiones tomadas por el Director de

Continuidad durante la declaración y activación de la contingencia.

Responsabilidades

Liderar la recuperación tecnológica, basados en las estrategias de continuidad

implementadas.

Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la

operación normal de la Entidad y que ponen al descubierto debilidades del plan de

continuidad.

Mantener comunicación constante entre Coordinadores de Recuperación del Negocio

durante el estado de contingencia.

Colaborar en la comunicación a los proveedores de los temas o servicios de su

competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa

decisión y autorización del Director de Continuidad, mediante comunicado elaborado en

conjunto con la Oficina Asesora de Comunicaciones.

Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la

recuperación.

Código:


Versión: 1

Fecha: 30/05/13

Página: 13 de 123

Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten

situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y

responsabilidades, disponibilidad de los recursos, entre otros.

Velar por la realización de las pruebas del plan de continuidad y revisar los resultados

obtenidos en las mismas.

Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido

ejecutadas e implementadas.

Coordinadores de Recuperación Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de

procesos de negocio críticos, basados en las estrategias de contingencia. Son el contacto

directo entre los procesos de negocio y el Comité SARO-SARLAFT; además, colaboran con

las decisiones tomadas por el Director de Continuidad y el Comité SARO-SARLFT durante la

declaración y activación de la contingencia.

Responsabilidades

Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las

interrupciones que están afectando la prestación del servicio.

Ejecutar los planes de contingencia ante el incidente presentado.

Identificar los posibles riesgos que afectan la continuidad de la operación normal de la

Entidad y que ponen al descubierto debilidades del plan de continuidad.

Mantener comunicación constante durante el estado de contingencia.

Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se

encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad,

mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.

Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la

recuperación de sus áreas.

Velar por la realización de las pruebas del plan de continuidad y revisar los resultados

obtenidos en la misma.

Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido

ejecutadas e implementadas.

Responsable de tareas de apoyo, control y cumplimiento Responsabilidades

Realizar las actividades que le sean asignadas durante la declaración de contingencia.

Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la

funcionalidad del plan.

Código:


Versión: 1

Fecha: 30/05/13

Página: 14 de 123

Asesor de Comunicaciones El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar

en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel externo

(clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual

de gestión de la comunicación en situaciones de crisis.

Responsabilidades

Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en

temas de comunicación en momentos de crisis.

B) LINEA DE SUCESION

Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus

alternos en caso de que estos no puedan asumir las actividades y/o tareas.

CARGO PRINCIPAL CARGO ALTERNO

Presidente del Icetex o su delegado, quien presidirá el Comité

Jefe de Riesgos

Jefe de Riesgos Director de Tecnología

Secretaria General Asesor Técnico de Secretaria General

Director de Tecnología Coordinador de Infraestructura

Vicepresidente Financiero Director de Contabilidad

Vicepresidente de Crédito y Cobranza Director de Cobranzas

Vicepresidente de Fondos en Administración Analista de Vicepresidente de Fondos en Administración

Jefe de Control Interno Coordinador de la Oficina de Control Interno

Jefe Oficina Asesora Jurídica Analista de Oficina Asesora Jurídica

Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo

Coordinador de Riesgos de Crédito y Operativo

Analista de Plan de Continuidad de Negocios

Línea de sucesión

6.3.2 LIDERES PCN

Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la

administración del plan de continuidad sobre los procesos / procedimientos a cargo:

Actuar como punto focal del área para todos los asuntos de continuidad del negocio.

Cumplir con las actividades y fechas establecidas del Cronograma de PCN.

Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de

contingencia que les compete.

Asegurar la aplicación correcta de los PCN al interior del área.

Código:


Versión: 1

Fecha: 30/05/13

Página: 15 de 123

Revisar el impacto en el área durante el incidente.

Mantener actualizados los documentos de PCN del área (BIA, Estrategia de Recuperación,

Cascada telefónica, Análisis de Riesgos. etc).

En el Anexo No. 8.6.1 se encuentra la Relación de los Líderes de PCN y Líderes de Proceso

del Icetex.

6.3.3 OFICINA DE RIESGOS

La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad:

Definir e implementar los instrumentos, metodologías y procedimientos tendientes a

gestionar efectivamente el PCN.

Suministrar los programas de capacitación de PCN.

Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área.

Guiar en el desarrollo de las diferentes etapas del PCN.

6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE

CONTINUIDAD DEL NEGOCIO

La Administración del Plan de continuidad del Negocio está conformada por los siguientes

elementos:

Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no

disponibilidad del sitio normal de trabajo y no contar con los proveedores críticos del negocio.

Planes de Recuperación de Desastres – DRP, el cual contempla las diferentes estrategias

definidas para la recuperación de los sistemas.

Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la

reanudación oportuna y ordenada de los procesos del negocio

6.5 ENTRENAMIENTO

En el éxito del Plan de Continuidad es fundamental contar con la participación y el compromiso

del personal involucrado en el mismo. La administración de continuidad debe asegurar que todos

los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso

de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que

serán los encargados de ponerlos en funcionamiento en caso de presentarse un evento no

Código:


Versión: 1

Fecha: 30/05/13

Página: 16 de 123

deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los

responsables de la correcta ejecución de los planes.

La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo

el personal a través de la Secretaria General Grupo de Talento Humano.

Dentro de la política de capacitación se contempla suministrar a todos los funcionarios

capacitación anual de Plan de Continuidad de Negocios a través de la herramienta e-Learning,

así como en el proceso de inducción.

Código:


Versión: 1

Fecha: 30/05/13

Página: 17 de 123

7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO

La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son:

7.1 FASE DE PREVENCION

En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan

los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto.

Está conformada por las siguientes etapas:

7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA

A) CONCEPTO

El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una

etapa que permite identificar la urgencia de recuperación de cada área, determinando el

impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos

críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus

proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad

puede tolerar en caso de un incidente o desastre.

Código:


Versión: 1

Fecha: 30/05/13

Página: 18 de 123

B) OBJETIVO

El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperación de

Negocios, es la guía que determina qué necesita ser recuperado y el tiempo requerido para

recuperación.

C) ALCANCE

A través del desarrollo del BIA se obtiene la siguiente información:

Evaluación de los procedimientos, donde se establece cuáles son primordiales para la

continuidad de la Entidad.

Determinación de los impactos de una interrupción y cuando empiezan.

Priorización y establecimiento del período de tiempo en el que los sistemas, aplicaciones y

funciones deben ser recuperados después de una interrupción (RTO).

Determinación del orden de recuperación.

Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una

interrupción en los sistemas de información (RPO).

Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel

de: Tecnología, personal, infraestructura y soporte proveedores.

D) FASES DEL BIA

Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir

con los siguientes pasos:

i. PLANEACION

Contempla los aspectos para el correcto y completo desarrollo del BIA, como son:

Identificación Procesos y Procedimientos: Obtener la relación de los procesos y

procedimientos para realizar la Evaluación BIA.

Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el

Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.

Código:


Versión: 1

Fecha: 30/05/13

Página: 19 de 123

ii. METODOLOGIA BIA

Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se

soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación.

Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause

pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En

caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica

de la Entidad.

La metodología establece el diligenciamiento del “Documento BIA” (ver anexo No. 8.5.1), el

cual es aplicado para cada una de los procedimientos que se realizan en la Entidad,

utilizando el mismo patrón de calificación. A continuación se detalla el “Documento BIA”

diseñado en la herramienta Excel:

CUESTIONARIO DE EVALUACION BIA Permite analizar los impactos que puede causar el no ejecutar un procedimiento por

encontrarse ante un incidente o desastre. Los impactos contemplados son:

Regulatorio/ Legal: Incluye pérdidas por no presentar reportes financieros o de

impuestos en las fechas indicadas, demandas o penalizaciones al incumplir

requerimientos obligatorios en las actividades de la Entidad.

Financiero: Incluye pérdida de ingresos, pérdida de intereses, costos de pedir dinero

prestado para hacer caja, pérdida de ingresos por préstamos no realizados,

penalizaciones por no cumplir compromisos contractuales o niveles de servicio y

pérdidas de oportunidades durante el tiempo inoperante.

Reputacional: Incluye la pérdida de confianza por parte de los clientes, del mercado y de

los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el

servicio, apariciones en las noticias por quejas de los clientes y pérdida de reputación.

Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y

oportuna atención a las necesidades de los usuarios.

Operativo: Incluye la suspensión de la operación y los reprocesos que ello puede

ocasionar.

Para responder las preguntas se debe tener en cuenta la tabla del numeral 8.4.4 de este

documento denominada “Criterios del Impacto”. La escala de valoración del impacto es la

siguiente:

Legal Económico Servicio al Cliente Reputacional Procesos

20 20 40 15 5

Código:


Versión: 1

Fecha: 30/05/13

Página: 20 de 123

Escala de Valoración del Impacto

El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar

antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo

de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede

permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información

relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría

de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los

clientes por dejar de realizar el procedimiento ante una interrupción.

Adicional, existe la pregunta referente a sí el procedimiento analizado proporciona

información crítica para cualquier otro procedimiento, con el fin de determinar

interdependencias.

Como resultado de la evaluación se genera las siguientes valoraciones:

Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados

por no ejecutarse el procedimiento. Esto se deriva a través de la realización del

cuestionario BIA.

Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una

interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y

recuperación de las actividades críticas para evitar un impacto significativo.

Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que

impulsa el establecimiento de prioridades de recuperación durante una situación difícil.

La tabla de valoración establecida es la siguiente:

Tabla de valoración del BIA

Esta información será el punto de partida para desarrollar las estrategias de recuperación.

Calificación BIATiempo Objetivo de

Recuperación (RTO)Valor del BIA

N - 1AAA 4 Horas Misión Critica

N - 1AA 8 Horas Misión Critica

N - 1A 24 Horas Masivo

Nivel 2 48 Horas Masivo

Nivel 3 7 días Medio

Nivel 4 14 días Medio

Nivel 5 30 días Bajo

Nivel 6 > 30 días Insignificante

Tabla Valoración del BIA

Código:


Versión: 1

Fecha: 30/05/13

Página: 21 de 123

Determinación del Punto de Recuperación Objetivo de la información – RPO: El

parámetro de Punto de Recuperación Objetivo de la Información determina la periodicidad

con la que deben salvaguardarse los datos de los procesos del negocio; cuánto más

pequeño sea el RPO más sólido debe ser el mecanismo de protección de datos (backup,

replicación online, etc).

El cuestionario de Evaluación BIA contiene la pregunta dirigida a establecer el Punto

Objetivo de Recuperación (RPO) por procedimiento, la cual permite establecer el apetito de

riesgo de pérdida de información ante un incidente tecnológico.

Los parámetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que

utilice la Entidad.

Requerimientos Infraestructura: El análisis de los procedimientos está acompañado de

la identificación de los requerimientos de personal, recursos y facilidades necesarias para

su operación ante un evento de contingencia.

Para ello, se tiene dispuesto la hoja de Cálculo “Requerimientos Tecnológicos” del

documento BIA, donde el Líder de PCN diligencia la información referente a:

Número de colaboradores de tiempo completo para ejecutar el proceso.

Recurso humano requerido en contingencia.

Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se

determina la criticidad de los aplicativos del Icetex.

Elementos logísticos como son: teléfono, impresora, escáner etc.

Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta

compartida del área.

Código:


Versión: 1

Fecha: 30/05/13

Página: 22 de 123

Información de Proveedores Externos: El BIA identifica la relación del procedimiento con

proveedores externos y en la hoja de cálculo denominada “Información Proveedores” del

“Documento BIA” se mencionan los proveedores críticos.

APROBACION DE LA EVALUACION

Cada procedimiento evaluado por la metodología BIA es revisado, analizado y aprobado

por el Líder del Proceso y como evidencia se genera el documento “Resultados del Análisis

de Impacto de Negocio (BIA)”, el cual es firmado por el Líder de Proceso y Líder de PCN

del área.

iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS

Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la

Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben

ser informados al Comité SARO – SARLAFT:

Número de procesos y procedimientos evaluados.

Clasificación de los procedimientos por calificación BIA.

Establecimiento de los procedimientos críticos de la Entidad, de acuerdo con la

calificación BIA.

Cantidad de recursos humanos requeridos en contingencia: Número de personas que

apoyan la contingencia ante una interrupción de las operaciones.

Recursos de Bienes Muebles clasificado por calificación BIA: Se establecen los bienes

muebles necesarios en la contingencia, como son: Computadores, teléfonos, escáneres,

impresoras y otros elementos necesarios en contingencia.

Dependencia de los proveedores externos en los procesos prioritarios: Definir los

proveedores críticos con el fin de involucrarlos en la estrategia de PCN.

Recursos Tecnológicos: Es necesario suministrar la información de:

Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada

procedimiento, con el fin de contar con la información necesaria para el alistamiento

de los computadores que se disponen como contingencia en el escenario de

Interrupción de Lugar. Adicionalmente, esta es la fuente para establecer el orden de

criticidad de los aplicativos.

El punto objetivo de recuperación (RPO): Con el fin de establecer las estrategias de

backup adecuadas para garantizar que en caso de caída y daño de los data files en

una base de datos, se restaure la información con el mínimo de pérdida.

En el Anexo No.8.6.2 describe el resultado de la última Evaluación del BIA.

Código:


Versión: 1

Fecha: 30/05/13

Página: 23 de 123

7.1.2 ETAPA DE ANALISIS DE RIESGOS

En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas,

sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la

Entidad, con el fin de medir el nivel del riesgo.

A) OBJETIVOS

La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una

amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de

desastre o una interrupción significativa en los servicios.

B) METODOLOGIA DE ANALISIS DE RIESGO

A continuación se detalla la Metodología de Análisis de Riesgos, la cual cubre los aspectos relacionados a continuación:

Identificación de riesgos de continuidad

Cálculo del riesgo inherente

Evaluación de controles

Cálculo del riesgo residual

Tratamiento del riesgo residual

IDENTIFICACION DEL RIESGO

El Líder de PCN de cada Área en conjunto con el Analista encargado de la Oficina de

Riesgos procede de la siguiente manera:

1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de

Análisis de Impacto del Negocio (BIA).

2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que

también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA).

3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para

ello, es necesario tomar como guía el anexo No. 8.4.1 denominado “Tipos de Amenazas”,

donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si

tales situaciones pueden darse en el proceso analizado.

Código:


Versión: 1

Fecha: 30/05/13

Página: 24 de 123

4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada.

Para identificarla es necesario responder esta pregunta: ¿Cómo puede ocurrir una

amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la

misma, evaluando si dentro del Instituto puede darse esa circunstancia.

Se recomienda utilizar como guía con el anexo No. 8.4.2 denominado “Tabla de

Vulnerabilidades”, donde se encuentra una relación de debilidades que podrían llegar a

generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía

pudiendo incluirse muchas otras situaciones de debilidades.

5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad.

6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo

con la tabla 8.4.2:

Personas

Infraestructura física

Infraestructura de tecnología de información

Procesos

CALCULO DEL RIESGO INHERENTE

El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el

impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En

consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los

numerales 8.4.3 “Criterios de Frecuencia” y 8.4.4 “Criterios de Impacto”, las cuales contienen

los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar

la evaluación.

Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la

siguiente escala de medición:

Escala de medición

1 2 3 4 5

Muy baja Baja Moderada Alta Muy alta

Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en

las diferentes vulnerabilidades que conforman el riesgo.

Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de

afectación sobre los siguientes factores de influencia:

Código:


Versión: 1

Fecha: 30/05/13

Página: 25 de 123

Impactos Regulatorio/

Legal Financiero Servicio al

cliente Reputacional Operativo Humano Infraestructura

Para establecer el resultado del impacto para cada riesgo se toma la calificación del cuestionario BIA.

Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos

puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la

Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente

máximo es 25 y el mínimo es 1.

EVALUACION DE LOS CONTROLES

Este proceso permite evaluar todos los controles asociados a las vulnerabilidades

identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de

control para poder dar un adecuado tratamiento al riesgo.

Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales

se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100.

El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables:

Control no documentado, no aporta valor al total del criterio.

Control documentado, aporta al total del criterio una calificación de 8 puntos.

Control aprobado, aporta al total del criterio una calificación de 8 puntos.

Control divulgado, aporta al total del criterio una calificación de 4 puntos, para un total de

20 puntos.

El segundo criterio es la Aplicación, el cual aporta un total de 30 puntos, siendo necesario

seleccionar una de las tres (3) opciones, así:

El control nunca se aplica, no aporta valor al total del criterio.

Se aplica a discreción, arroja una calificación de 10.

Se aplica siempre, tiene una calificación de 30.

Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:

Código:


Versión: 1

Fecha: 30/05/13

Página: 26 de 123

Comprobada la efectividad, donde se debe contar con la evidencia física que dada la

aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es

de 50 puntos.

Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en

cuanto a la efectividad del control es positiva. La calificación es de 30 puntos.

Percepción negativa, donde la percepción del experto es negativa en cuanto a la

efectividad del control. La calificación es de 10 puntos.

Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo

para la prevención y detección de riesgos, dándole una calificación 0 puntos.

La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente

tabla:

Calificación del Control

Los controles se clasifican en:

Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con

que ocurren las causas del riesgo.

Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino

que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen

acciones sobre tales detecciones.

Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los

eventos que ponen en riesgo el logro de los objetivos del proceso.

Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se

agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual

manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.

CUADRANTES A DISMINUIR EN

LA FRECUENCIA

CUADRANTES A DISMINUIR EN

EL IMPACTO

Entre 0 - 50 0 0

Entre 51 - 75 1 1

Entre 76 - 100 2 2

DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O

IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION,

EVALUACION Y RESPUESTA A LOS RIESGOS

RANGO DE

CALIFICACION DE

LOS CONTROLES

Código:


Versión: 1

Fecha: 30/05/13

Página: 27 de 123

CALCULO DEL RIESGO RESIDUAL Luego de la valoración de los controles se identifica el efecto de mitigación en frecuencia e

impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo

residual, así:

Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla

“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna

“Cuadrantes a disminuir en la frecuencia”. Este valor se resta a la frecuencia obtenida en

riesgo inherente.

De igual manera se procede con los controles dispuestos para disminuir el impacto del

riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla

“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna

“Cuadrantes a disminuir en el impacto”. Este valor se resta al impacto obtenido en riesgo

inherente.

Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los

controles, obteniendo así el Riesgo Residual.

El Riesgo Residual se ubica en la siguiente Escala de Clasificación del Riesgo:

Rango de calificación

de controlesFrecuencia

Cuadrante a

disminuir en la

Frecuencia

Valor Frecuencia

Residual

80 puntos 4 2 2

Calificación control

sobre ImpactoImpacto Efecto mitigación

Valor Impacto

Residual

60 puntos 3 1 2

NIVELCLASIFICACIÓN

0-3 Aceptable

4-6 Tolerable

7-15 Grave

16-25 Critico

Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual

4 3 12 2 2 4

Código:


Versión: 1

Fecha: 30/05/13

Página: 28 de 123

Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en

cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles:

TRATAMIENTO DEL RIESGO RESIDUAL A partir de la evaluación y análisis de los riesgos, se priorizan de mayor a menor “criticidad”, a

fin de tomar decisiones de cómo actuar sobre los mismos. Esta metodología pretende actuar

sobre los riesgos que estén fuera del rango de aceptabilidad. El tratamiento del riesgo residual

debe ir orientado a cualquiera de las siguientes opciones:

Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión

administrativa.

Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la

implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o

minimizar la severidad de su impacto.

Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en

diversos lugares, procesos o personas.

Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la

responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias

financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el

impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros,

Subcontrataciones.

0

1

2

3

4

5

0 1 2 3 4 5

FR

EC

IUE

NC

IA

IMPACTO

Código:


Versión: 1

Fecha: 30/05/13

Página: 29 de 123

Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son

atractivos en relación con los riesgos involucrados.

Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder

de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad

a través de la creación de nuevos controles o la implementación de modificaciones a los

controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se

reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones

respectivas para su tratamiento y mitigación.

Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por

los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento

en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de

realizar la respectiva reclasificación y acordar acciones.

C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD

Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para

determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se

requieren para la continuidad del negocio.

El Líder de PCN efectúa seguimiento permanente sobre la implementación de los planes de

acción y la verificación de la efectividad de los controles y a la vez identificando nuevos

riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Líder de

PCN de cada una de las áreas con apoyo del Funcionario Responsable en la Oficina de

Riesgos y éste es aprobado por el Líder del Proceso. Este monitoreo se realiza en la Matriz

de Riesgo de PCN.

Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las

medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al

riesgo fijado por la Entidad.

D) REPORTE DE INCIDENTES DE CONTINUIDAD

Los incidentes que afecten la continuidad de la operación deben ser reportados por los

Líderes de PCN a la Oficina de Riesgos, a través del formato “Reportes de Incidentes de

Contingencia” (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la

ocurrencia del hecho.

Código:


Versión: 1

Fecha: 30/05/13

Página: 30 de 123

7.1.3 ETAPA DE ESTRATEGIA

A) CONCEPTO

Corresponden a las acciones que se deben tomar con el objetivo de restablecer las

operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o

falla en los procesos o funciones críticas.

Es necesario identificar las diferentes estrategias de continuidad y seleccionar las más

adecuada para la institución, para lo cual el Líder de PCN de cada área junto con el

Profesional del tema en la oficina de Riesgos analizarán las variables de:

La criticidad del proceso a proteger

El costo de la estrategia

El tiempo de recuperación objetivo (RTO)

B) OBJETIVOS

Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible,

con un aceptable nivel de servicio.

Garantizar que los Empleados:

Estén protegidos Comprenden su papel Saben a dónde ir Saben qué hacer Saben qué recursos necesitan Entienden la secuencia de las tareas críticas

Ayudar a planificar la recuperación y reanudación de las operaciones.

Validar asuntos de recuperación de la Entidad, como:

Necesidades de telecomunicaciones durante y después del desastre. Lugar alterno para continuidad/recuperación y reanudación.

C) ALCANCE

La selección de los métodos alternativos de operación que deben ser utilizados ante una

interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.

Código:


Versión: 1

Fecha: 30/05/13

Página: 31 de 123

Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son:

Ausencia de personal

Sitio alterno

Fallas tecnológicas

D) ESTRATEGIAS POR AUSENCIA DE PERSONAL

Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para

desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de

comunicación:

El colaborador ausente activa la Cascada Telefónica y se comunica con el Jefe inmediato.

El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por

“Ausencia de Personal”. Distribuye procesos claves o asigna funciones al colaborador Back

- up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de

perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de

información.

El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos.

El documento denominado Cascada Telefónica cuenta con la información básica de los

colaboradores y proveedores con el ánimo de utilizarlos en un evento de contingencia, como

es:

Funcionarios: Mantener la información de los colaboradores permite comunicarse con ellos en

el evento que se encuentren fuera de las instalaciones.

Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la

información de contacto.

Cada área cuenta con la información de “Cascada Telefónica”, la cual está conformada por:

Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de

teléfono personal y sí fue definido como personal crítico para operar la contingencia o no.

Se encuentran descritos en el orden que serán llamados ante un evento.

Código:


Versión: 1

Fecha: 30/05/13

Página: 32 de 123

Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la

ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán

en la contingencia por cada procedimiento.

Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor,

nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto

personal, teléfono de la oficina y móvil y correo electrónico.

En el numeral 8.5.3 se encuentra el formato de Cascada Telefónica. La información de

Cascada Telefónica de cada área la conserva el Líder de PCN y la consolidación de la misma

reposa en la Oficina de Riesgos.

E) ESTRATEGIA DE SITIO ALTERNO

La alternativa de traslado del personal se presenta en el evento que los funcionarios no

puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de

contingencia permitiendo la continuidad de las operaciones de los procesos críticos del Icetex

desde un sitio alterno de operación.

Las alternativas podrán ser usadas simultáneamente dependiendo de la disponibilidad del

proveedor en el momento de la interrupción del Icetex, además depende de la activación y

numero de procesos que se activen según el evento y el día en que se presente.

El numeral 8.3.1 “Procedimiento de Estrategia de Sitio Alterno”, aporta las actividades que se

deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones

alterno.

F) ESTRATEGIA TECNOLOGICA

La contingencia se presenta cuando el hardware y/o software presenta fallas, o por

interrupción prolongada de telecomunicaciones.

La Dirección de Tecnología tiene estructurado el siguiente Plan de Continuidad para los

aplicativos e infraestructura de la Entidad:

Código:


Versión: 1

Fecha: 30/05/13

Página: 33 de 123

Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de

contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos),

como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen.

El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este

documento.

Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por

problemas en los sistemas, descrito en el numeral 8.3.2.

G) ESTRATEGIA CONTINGENCIA MANUAL

Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para

operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se

estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que

permitan operar sin un sistema base.

Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias

manuales que se disponen en el numeral 8.2 de este documento.

Red

Centro

Computo

Servidor

Switches Centro cableado HUB Firewall

C&CTEX Apoteosys Mercurio Cobol Bizagi Sevimpro Correo

Electrónico

APLICATIVOS

RED LAN

RED WANTelecomunicaciones

ETB

Routers Enlaces

Aire acondicionado Sistema de incendio Sistema eléctrico UPS

Base de datos Sistema operativo – Software base de datos Servidor Hardware

INFRAESTRUCTURA

Código:


Versión: 1

Fecha: 30/05/13

Página: 34 de 123

7.1.4 ETAPA DE PRUEBAS

A) CONCEPTO

Consiste en probar la efectividad de las estrategias diseñadas y permitir el continuo

mejoramiento del PCN de la Entidad. Esta etapa le da a la Institución la oportunidad de

identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser

atendidas, preparando el negocio para la emergencia real.

B) OBJETIVOS

Practicar los procedimientos ante un incidente o desastre.

Identificar áreas que necesitan mejora.

Permitir al PCN permanecer activo, actualizado, entendible y usable.

Demostrar la habilidad de recuperación.

C) ALCANCE DE LAS PRUEBAS

Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación

normal sean mínimas y deben comprender los elementos críticos y simular condiciones de

proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir

las siguientes tareas:

Verificar la totalidad y precisión del Plan.

Evaluar el desempeño del personal involucrado.

Evaluar la coordinación entre los miembros del grupo de contingencia, proveedores y otros

terceros.

Identificar la capacidad de recuperar registros e información vital.

Medir el desempeño de los sistemas operativos y computacionales.

Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados,

planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una

revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.

Código:


Versión: 1

Fecha: 30/05/13

Página: 35 de 123

D) TIPO DE PTUEBAS

En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las

pruebas del plan de continuidad de negocio del Icetex:

E) PLAN DE PRUEBAS

Para la realización de una Prueba de Estrategia de Continuidad es necesario diligenciar el

documento “Plan de Pruebas” (ver anexo No. 8.5.4), conformado por los siguientes pasos:

Guion de pruebas: Es el documento mediante el cual se plasma la intención de efectuar la

revisión de la estrategia de continuidad estimada para el proceso o servicio determinado,

donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de

interrupción, los resultados esperados, los integrantes de las pruebas y los riesgos

asociados a la ejecución de la prueba. Este documento debe desarrollarlo previo a la

ejecución de la prueba el Líder de PCN responsable del proceso a probar con la guía del

funcionario encargado en la Oficina de Riesgos.

Paso a paso de la planeación: Este documento relaciona las actividades a efectuar durante

la prueba, indicando además los responsables de realizar tales actividades así como los

recursos mínimos necesarios y los tiempos de su realización, para la estimación completa

TIPO DE

PRUEBA

TECNICA

UTILIZADA

OPERACIÓN

Integrada Creación de un

escenario

Seguimiento en

vivo de todas las

estrategias re

recuperación

Con previo aviso.

Apoyo de los

proveedores de

recuperación

Prueba integrada con todos los

elementos que hacen parte del

plan de contingencia.

Componentes Creación de un

escenario

Seguimiento de

las estrategias de

recuperación

Con previo aviso.

Se ejecutan las estrategias y

procedimientos de recuperación

de cada uno de los componentes

de la infraestructura tecnológica.

Escritorio Con previo aviso.

Creación de un

escenario.

Se realiza un ejercicio de papel

de un escenario de desastre que

toma lugar en un salón de

conferencia.

Prueba Integrada

Pruebas Componentes

Pruebas de Escritorio

Código:


Versión: 1

Fecha: 30/05/13

Página: 36 de 123

del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son

necesarios para la adecuada realización de la prueba. Al igual que en el anterior ítem, este

informe debe ser adelantado previo a la ejecución de la prueba por el Líder de PCN

responsable del proceso a probar con la guía del funcionario encargado en la Oficina de

Riesgos.

Paso a paso de la ejecución: Este documento contiene las actividades realizadas en el

desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se

presenten algún incidente dentro de la prueba. Adicionalmente, se describen los recursos

mínimos necesarios, los responsables y los tiempos de ejecución de las actividades. Este

informe es elaborado en el momento de la prueba por el Líder de PCN responsable del

proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.

Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan

para retornar a la operación normal, caso devolución a los puestos de trabajo, captura de

las operaciones que no se procesaron en un aplicativo, entre otras.

Encuesta de satisfacción: Este informe lo realizan diferentes integrantes de la prueba,

donde se busca determinar el grado de satisfacción de la prueba. La conforman aspectos

como: duración de la prueba, preparación de la prueba y la comunicación de la misma, y

dificultades que se identificaron.

Acta de reunión: En este documento se establecen los objetivos, conclusiones de la

prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros

obtenidos en la ejecución de la prueba y los riesgos asociados identificados en la ejecución

de la prueba, así como las acciones mitigantes que mejorarán la estrategia de continuidad

del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la

prueba.

Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento “Acta de

reunión” dirigido a los participantes y al jefe responsable de proceso.

Código:


Versión: 1

Fecha: 30/05/13

Página: 37 de 123

7.1.5 ETAPA DE MANTENIMIENTO

A) CONCEPTO

Es la revisión periódica de lineamientos, estrategias, técnicas y planes, capacitación a

personal para que el PCN permanezca actualizado con el objetivo de ser capaz de lograr la

recuperación de actividades de misión crítica dentro de los objetivos de tiempo de

recuperación asegurando una continuidad de sus servicios y productos.

B) OBJETIVOS

Verificación y validación de lineamientos, estrategias y planes de PCN.

Detalles de todos los cambios de estrategias del PCN con el historial de control de

versiones.

C) FACTORES DE ACTUALIZACION

Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de éste, que

afectan el PCN. A continuación se relaciona una lista de eventos que pueden generar una

revisión al PCN:

Requerimientos legales.

Nuevos productos.

Nuevo hardware, plataformas, aplicativos u otros cambios de tecnología (Sistemas

Operativos, Bases de Datos).

Cambios en las telecomunicaciones (voz o datos).

Quiebra y/o cambio de un proveedor crítico.

Cambio de instalaciones.

Cambios en el personal o reubicación del mismo.

Transferencia de funciones entre sitios existentes.

Consolidación o tercerización de funciones.

Cambios en proveedores externos críticos.

Resultados de las pruebas del Plan de Continuidad del Negocio.

Cambios en el Sistema de Gestión de Calidad y Procesos.

Código:


Versión: 1

Fecha: 30/05/13

Página: 38 de 123

7.2 FASE DE ADMINISTRACION DE CRISIS

7.2.1 CONCEPTO

En esta fase se gestiona efectivamente el manejo de la crisis, durante y después de la misma; un

buen manejo de la crisis minimiza los impactos de una interrupción.

7.2.2 OBJETIVOS

Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.

Identificar tipos de emergencias y las respuestas necesarias.

7.2.3 ALCANCE

Este plan de administración de crisis se ejecuta teniendo como premisa las decisiones del

Comité SARO- SARLAFT. Todas las comunicaciones serán dirigidas por el responsable de

comunicaciones del Instituto y se apoyarán en el Manual de gestión de la comunicación en

situaciones de crisis.

Los documentos indicados en los numerales 8.3.1 y 8.3.2 “Escenario de contingencia a sitio

alterno” y “Manejo de incidentes por problemas en los sistemas”, sintetizan esta fase, la cual está

conformada por las siguientes etapas:

Etapa de Evaluación: La evaluación constituye la etapa de valoración preliminar de un evento de interrupción que afecta de forma considerable la Entidad. La evaluación se hace en sitio, teniendo en cuenta los perfiles y competencias necesarios para determinar: causa de la interrupción, población de usuarios afectada, apreciación de la magnitud, valoración del daño, escenario de soluciones, recursos involucrados y tiempo estimado de la solución. Etapa de Activación: Se describen las actividades requeridas para declarar y comunicar el desastre de forma tal que se active la contingencia y se comunique la interrupción a los equipos responsables de recuperar el servicio. Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para restaurar la operación a la normalidad, una vez superada la contingencia y recuperados los servicios de la entidad.

Código:


Versión: 1

Fecha: 30/05/13

Página: 39 de 123

8 ANEXOS

8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA

Estrategia PCTI – Base de Datos

Estrategia Red WAN

Estrategia Red LAN – Switches

Estrategia – Sistema Operativo – Software de Base de Datos

Código:


Versión: 1

Fecha: 30/05/13

Página: 40 de 123

ESTRATEGIA TECNOLÓGICA DE BASE DE DATOS

1. OBJETIVO

Recuperar un servidor de base de datos por daño en el sistema manejador de la base de datos que se encuentra en el centro de cómputo ICETEX. 2. ALCANCE

El procedimiento aplica para los siguientes escenarios:

Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por una base de datos.

Falla a nivel de Software de Base de datos.

3. CONDICIONES GENERALES

Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:

Contrato vigente de soporte y Carta de Servicio ORACLE o MS SQL Server

4. DESCRIPCIÓN

DIAGRAMA DE FLUJO

Código:


Versión: 1

Fecha: 30/05/13

Página: 41 de 123

ACTIVIDADES

ACTIVIDADES O TAREAS

No. Act

Descripción de la Actividad

Observaciones Responsable Recursos requeridos y ubicación

1 Identificar la falla y realizar un diagnóstico interno

Administrador de la base de datos

2

Llamar al CONTRATISTA responsable del mantenimiento

Llamar a las líneas: Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Dirección de Tecnología (Continuidad_de_negocio)


Contrato

3 Diagnóstico de la situación.

Se efectúa un diagnóstico del estado de la base de datos.

Administrador de la base de datos y/o contratista

4

¿Se puede recuperar el servicio en la misma máquina?

De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio. En caso afirmativo pasa al punto 5 de lo contrario al punto 6.

Administrador de la base de datos y/o contratista

5 Proceder a Se restablece el servicio en el mismo Administrador de la

Código:


Versión: 1

Fecha: 30/05/13

Página: 42 de 123

restablecer el servicio

servidor y se pasa al paso 10 base de datos y/o contratista

6 Recuperar la hoja de vida de la base de datos

La extraerá del repositorio Continuidad_de_negocio de plantillas de hojas de vida de las bases de datos.

Administrador de la base de datos, Coordinador de infraestructura, o el Director de tecnología

7 Crear la base de datos en el servidor de contingencia.

Toma la hoja de vida y con los comandos de la consola de administración crea la base de datos con los parámetros descritos en la hoja de vida.

Administrador de la base de datos.

8 Recuperar ultima copia de la base de datos.

Tomar ultima copia de seguridad disponible de la base de datos y proceder a su restauración en la base de datos creada recientemente.


9 Definir los usuarios del sistema en el nuevo servidor.

Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignándoles los perfiles requeridos


10 Verificar que la base de datos opera adecuadamente.

Si los resultados son satisfactorios se sigue al paso 11, sino vuelve al paso 4.


11

Se informa al Coordinador de Infraestructura o al Director de Tecnología del restablecimiento del servicio

Reporte de funcionamiento y se documenta el proceso efectuado.


12 Reporte de servicio restablecido.

El Coordinador de Infraestructura o el Director de Tecnología, informan que la contingencia ha sido superada.

Coordinador de Infraestructura, Administrador de la Red o el Director de Tecnología

5. SEGUIMIENTO Y CONTROL

ACTIVIDAD A CONTROLAR

COMO EJERCER EL CONTROL

EVIDENCIA DEL CONTROL

RESPONSABLE

6. HISTORIA DEL DOCUMENTO

VERSIÓN FECHA OBSERVACIÓN

V1 10/12/2012 Creación del documento.

Código:


Versión: 1

Fecha: 30/05/13

Página: 43 de 123

ESTRATEGIA TECNOLÓGICA DE RED WAN

1. OBJETIVO

Recuperar un enlace de comunicación entre una sede regional y el nodo central 2. ALCANCE


Daños o fallas en algún enlace que afecte servicios dentro de los cuales esta soportado por la red WAN.

3. DEFINICIONES

N/A 4. CONDICIONES GENERALES


Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo) 5. DESCRIPCIÓN

DIAGRAMA DE FLUJO

Código:


Versión: 1

Fecha: 30/05/13

Página: 44 de 123

ACTIVIDADES

ACTIVIDADES Ó TAREAS

No. Act


Observaciones Responsable Recursos requeridos y ubicación

1

Identificar la falla y realizar un diagnóstico interno

Profesional Dirección de tecnología y Proveedor de servicios de la red

2 Llamar al CONTRATISTA

Llamar a las líneas: - Las que se encuentren en el

documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos

Coordinador de Infraestructura o Profesional de Dirección de tecnología

Contrato (Anexo 1)

3

Diagnóstico de la situación por parte del administrador de la red o del contratista

Se efectúa un diagnóstico del estado del enlace de comunicaciones.

Coordinador de Infraestructura o Profesional de Dirección de tecnología o contratista

4

Se puede recuperar el servicio empleando el canal de contingencia

De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio


5 Proceder a restablecer el servicio

Se restablece el servicio y se pasa al paso 7


6

Establecer canal de comunicación alterno

Enviar equipo de trabajo, revisar el enrutador, el enlace, canal

Contratista

7 Validar la configuración

Establecer QoS, parámetros de configuración, enrutamiento, etc

Contratista

8 Verificar que el enlace opera adecuadamente

Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica


9

Se informa al Coordinador de infraestructura o al Director de tecnología, del

Reporte de funcionamiento y se documenta el proceso efectuado

Coordinador de Infraestructura o Profesional de Dirección de tecnología

Código:


Versión: 1

Fecha: 30/05/13

Página: 45 de 123

restablecimiento del servicio

10 Reporte de servicio restablecido

El Coordinador de infraestructura o el Director de tecnología, informan que la contingencia ha sido superada.

Coordinador de infraestructura, Administrador de la red o el Director de tecnología





RESPONSABLE



V1

17/02/2013

Creación del documento.

Código:


Versión: 1

Fecha: 30/05/13

Página: 46 de 123

ESTRATEGIA TECNOLÓGICA DE LAN - SWITCHES

1. OBJETIVO

Recuperar un Switch que se encuentra en la red de ICETEX. 2. ALCANCE


Daños o fallas en alguno de los Switches.

Falla a nivel de Hardware o Software. 3. CONDICIONES GENERALES


Contrato vigente de soporte y Carta de Servicio DSSP (Ver Anexo) 4. DESCRIPCIÓN

DIAGRAMA DE FLUJO

Código:


Versión: 1

Fecha: 30/05/13

Página: 47 de 123

ACTIVIDADES

ACTIVIDADES O TAREAS

No. Act

Descripción de la Actividad Observaciones Responsable

Recursos requeridos y ubicación

1

Identificar la falla y realizar un diagnóstico interno

Administrador de la Red

2

Llamar al CONTRATISTA responsable del mantenimiento o tomar uno de los switch del stock disponible para asignar un recambio

Llamar a las líneas: - Las que se encuentren

en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Dirección de tecnología Continuidad_de_negocio contactos


Contrato y carta de solicitud (Anexo 1)

3 Tomar el Swicth de recambio Administrador de la Red

4 Recuperar la plantilla de configuración

La suministrará el Coordinador de Infraestructura de Tecnología o el Director de tecnología, y este la ubicará en el repositorio Continuidad_de_negocio plantillas de configuración de los swicthes


5 Resetear el swicth, y aplicar la plantilla de configuración

Toma la plantilla y con los comandos ::: proceder a cargarla en el Swicth de reposición


6 Verificar que el swicth opera adecuadamente

Se conecta el switch y se efectúan las pruebas de enrutamiento necesarias.

Administrador de la red

7 El swicth opera adecuadamente


Administrador de la red

8

Se informa al Coordinador de infraestructura o al Director de tecnología, del restablecimiento del servicio



9 Reporte de servicio restablecido El Coordinador de Coordinador de

Código:


Versión: 1

Fecha: 30/05/13

Página: 48 de 123

infraestructura o el Director de tecnología, informan que la contingencia ha sido superada.

infraestructura, Administrador de la red o el Director de tecnología





RESPONSABLE



V1

29/05/2010


V2

17/08/2010

Ajustar procedimiento a formato.

V3 05/12/2012 Ajustar el procedimiento de acuerdo al análisis de impacto de negocio desarrollado y la nueva estrategia de outsourcing del centro de datos.

Código:


Versión: 1

Fecha: 30/05/13

Página: 49 de 123

ESTRATEGIA TECNOLÓGICA DE SISTEMA OPERATIVO – SOFTWARE DE BASE DE DATOS

1. OBJETIVO

Recuperar un servidor de base de aplicaciones por daño en el sistema. 2. ALCANCE


Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por un servidor web o servidor de aplicaciones.

Falla a nivel de Software Base del servidor. 3. CONDICIONES GENERALES


Contrato vigente de soporte servidores 4. DESCRIPCIÓN

ACTIVIDADES

ACTIVIDADES Ó TAREAS

No. Act


Observaciones Responsable

Recursos requeridos y ubicación

1 Identificar la falla y realizar un diagnostico interno

Administrador servidores

2 Llamar al CONTRATISTA responsable del mantenimiento o

Llamar a las líneas: - Las que se encuentren en el

documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos

Administrador de servidores

Contrato

3

Diagnóstico de la situación por parte del administrador del servidor o del contratista

Se efectúa un diagnóstico del estado del software base.

Administrador del servidor

4 Se puede recuperar el servicio en la misma máquina

De acuerdo al diagnóstico se decide sobre el mejor procedimiento para restablecer el servicio

Administrador del servidor y/o contratista

Código:


Versión: 1

Fecha: 30/05/13

Página: 50 de 123

5 Proceder a restablecer el servicio

Se restablece el servicio en el mismo servidor y se pasa al paso 9


6 Recuperar la hoja de vida del servidor

La extraerá del repositorio de plantillas de hojas de vida de los servidores

Coordinador de infraestructura, Administrador del servidor o el Director de tecnología

7 Actualizar la configuración en el servidor de contingencia

Toma la hoja de vida y con los comandos de la consola de administración instala, configura los servicios con los parámetros descritos en la hoja de vida.


8 Definir los usuarios del sistema en el nuevo servidor

Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignándoles los perfiles requeridos


9

Verificar que el servidor la aplicación, el servidor web o servidor de aplicaciones opera adecuadamente



10

Se informa al Coordinador de infraestructura o al Director de tecnología, del restablecimiento del servicio



11 Reporte de servicio restablecido

El Coordinador de infraestructura o el Director de tecnología, informan que la contingencia ha sido superada.






RESPONSABLE



V1

10/12/2012


Código:


Versión: 1

Fecha: 30/05/13

Página: 51 de 123

8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL

Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las siguientes estrategias manuales ante una contingencia cuyo escenario es falla de los sistemas con los que ejecutan la operación:

No. Contingencia manual a procedimientos Area

1. Resoluciones de giro por fallas del sistema C&CETEX Vicepresidencia de Fondos

2. Expedición del certificado de disponibilidad presupuestal ante la imposibilidad de operar en el sistema Apoteosys

Vicepresidencia Financiera

3. Registro presupuestal de compromisos ante la imposibilidad de operar en el sistema Apoteosys.


4. Registro presupuestal de obligaciones ante la imposibilidad de operar en el sistema Apoteosys


5. Análisis contable de causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys


6. Giro por falla en el sistema Apoteosys Vicepresidencia Financiera

7. Generación de correspondencia externa ante imposibilidad de operar en el sistema mercurio

Secretaria General

8. Consulta de archivo Secretaria General

9. Pago de servicios públicos y administraciones ante la imposibilidad de operar en el sistema Apoteosys

Secretaria General

Código:


Versión: 1

Fecha: 30/05/13

Página: 52 de 123

CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE RESOLUCIONES DE GIRO POR FALLAS DEL SISTEMA C&CETEX Macro proceso: Otorgamiento de Productos Proceso: Gestión de legalización y renovación para aprobación del desembolso 1. OBJETIVO

Obtener un plan de contingencia para el procedimiento crítico de Resoluciones de Giro en la Vicepresidencia de Fondos por fallas del sistema C&CETEX.

2. ALCANCE

Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos, caso en el que la Vicepresidencia de Fondos en Administración determinará los Giros urgentes a emitir en el día, de acuerdo con los compromisos contraídos con los Constituyentes y sobre esta decisión informará al personal encargado para que procedan a aplicar la contingencia.


Para el desarrollo de esta contingencia se requiere contar con el reporte de “Faltantes de

Giro” de la Vicepresidencia de Fondos en Administración, actualizado a fecha del día anterior,

para lo cual es necesario que el funcionario designado genere al final del día este reporte y lo

guarde en la Carpeta Compartida de la Vicepresidencia de Fondos, debidamente protegido

para que no sea posible su manipulación por ninguna persona.

Los giros propuestos a gestionar deberán haber cumplido con las siguientes condiciones para

iniciar el proceso de giro:

o Hallarse la documentación soporte en la Entidad,

o Encontrarse en el sistema C&CETEX con los estados de: “Autorizado”, “Concepto jurídico

viable” o “Renovado IES”.

4. DESCRIPCION

4.1 ACTIVACION DE LA CONTINGENCIA - GENERACION DEL GIRO

Encargado del Fondo / Vicepresidencia de Fondos en Administración

4.1.1 Cumplido el Procedimiento de Legalización de Crédito Educativo, se recepciona por parte

del Constituyente la autorización con la relación de los Beneficiarios autorizados para que se

les desembolse, documento debidamente firmado por el funcionario autorizado en el Fondo.

Código:


Versión: 1

Fecha: 30/05/13

Página: 53 de 123

4.1.2 Ingresar a la dirección de “Carpeta Compartida de Fondos” y seleccionar el reporte “Faltantes

de Giro”, que contiene la información de los Beneficiarios que se encuentran en las

condiciones indicadas en el numeral 3. Proceder a filtrar la información con la información de

los Beneficiarios a gestionar el giro de acuerdo al rubro a pagar.

4.1.3 Revisar que los datos del Beneficiario autorizado en el documento de Autorización de

Beneficiarios contenga la misma información que se encuentra en el Reporte de Faltantes de

Giro: nombre del beneficiario, universidad, programa, valor aprobado para el giro.

4.1.4 Si la revisión es coincidente proceder a diligenciar el formato F135 “Formato de Autorización

de Giros – Vicepresidencia de Fondos en Administración. Esta planilla debe firmarla en

constancia de elaboración.

4.1.5 En caso que se presente diferencia en la información, es necesario solicitar aclaración con el

Constituyente a través de correo electrónico.

4.1.6 Entregar al Técnico Administrativo los siguientes documentos: Formato F135 “Formato de

Autorización de Giros – Vicepresidencia de Fondos en Administración” y documento de

Autorización de Beneficiarios por parte de Constituyente.

Técnico Administrativo / Vicepresidencia de Fondos en Administración

4.1.7 Elaborar por cada orden de giro, el Formato “Resolución Giro Contingencia C&CETEX” con

los datos indicados en el formato 135.

4.1.8 Revisar el Formato “Resolución Giro Contingencia C&CETEX” contra el formato F135

“Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración,

verificando que los datos que componen la orden de resolución coincida la información que

reposa en el reporte de faltantes.

4.1.9 Las ordenes de resolución cuya información es igual, serán firmadas por el Técnico

Administrativo, en el campo de “Elaboro”.

4.1.10 Aquellas resoluciones que difiere la información debe corresponder a equivocación en la

emisión de la orden de resolución, por cuanto es necesario corregir las órdenes y volver a

imprimir y firmar.

4.1.11 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Encargado del Fondo.

Encargado del Fondo / Vicepresidencia de Fondos en Administración

4.1.12 Revisar la ordenes de resoluciones de giro garantizando su correcta emisión, en constancia

firma en el campo “Reviso” de dicho documento.

4.1.13 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Coordinador.

Coordinador / Vicepresidencia de Fondos en Administración

Código:


Versión: 1

Fecha: 30/05/13

Página: 54 de 123

4.1.14 Revisar el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en

Administración”, la orden de resolución de giro, el Formato “Resolución Giro Contingencia

C&CETEX” y la Autorización del Fondo con la relación de los beneficiarios contra el Reporte

de Faltantes de Giro, verificando la consistencia en la información.

4.1.15 De encontrarla correcta, proceder a firmar la Planilla 135 “Formato de Autorización de Giros –

Vicepresidencia de Fondos en Administración” y la “Resolución Giro Contingencia C&CETEX”.

4.1.16 De encontrar algún tipo de inconsistencia, debe rechazar la orden de resolución y solicitar

aclaración al Funcionario encargado del Fondo.

4.1.17 Entregar la documentación correspondiente a las Órdenes de Resolución de giro autorizadas

al Vicepresidente de Fondos en Administración, quien realiza una última verificación de la

información y firma como Ordenador del Gasto. Estos documentos son devueltos al

Coordinador responsable del Fondo.

4.1.18 Actualizar los giros ordenados en el Reporte de Pendientes, diligenciando los siguientes

campos:

Fecha orden de resolución: Años, mes y día (AAAA/MM/DD) de la solicitud de emisión de

la orden de giro.

Elaborado: Nombre y apellido del Funcionario encargado del Fondo que está solicitando la

orden de resolución de giro.


4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo

“Fecha de resolución” y proceder a generar un archivo independiente con las resoluciones de

desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura

requerida por el sistema Apoteosys, información que reposa en el Reporte de Pendientes de

Fondos.

4.1.20 Entregar las Órdenes de Resolución y el formato F135 “Formato de Autorización de Giros –

Vicepresidencia de Fondos en Administración” al Grupo de Presupuesto de la Vicepresidencia

Financiera, para su cumplimiento.

4.2 CARGE DEL ARCHIVO EXCEL CON INFORMACION DE LAS RESOLUCIONES DE

DESEMBOLSO AL MAESTRO DE RESOLUCIONES DE APOTEOSYS


4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las

instrucciones dadas por la Dirección de Tecnología. 4.3 RETORNO A LA NORMALIDAD – SISTEMA C&CETEX

Dirección de Tecnología

Código:


Versión: 1

Fecha: 30/05/13

Página: 55 de 123

4.3.1 Una vez restablecida la incidencia presentada en el aplicativo C&CETEX, la Dirección de Tecnología efectuará la actualización de las ordenes de resoluciones emitidas que ya han sido cargadas en el sistema Apoteosys.

4.3.2 Informar a la Oficina de Riesgos la actualización del aplicativo C&CETEX y su restablecimiento.

Oficina de Riesgos

4.3.3 Avisar a la Vicepresidencia de Fondos en Administración el restablecimiento del sistema C&CETEX y el Vicepresidente informe al personal del área y puedan ingresar a dicho aplicativo.

Código:


Versión: 1

Fecha: 30/05/13

Página: 56 de 123

CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE EXPEDICION DEL CERTIFICADO DE DISPONIBILIDAD PRESUPUESTAL ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS

Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal

1. OBJETIVO

Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para

desarrollar el procedimiento de Expedición del Certificado de Disponibilidad Presupuestal (CDP),

donde se emite el documento que garantiza la existencia de apropiación presupuestal disponible,

para la asunción de compromisos o traslados con cargo al presupuesto de la respectiva vigencia

fiscal.

2. ALCANCE

Este procedimiento se utiliza ante la activación de contingencia dada por la Oficina de Riesgos,

caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera

determina los Certificados de Disponibilidad Presupuestal a emitir en el día, de acuerdo con las

necesidades de las diferentes áreas de la Entidad y sobre esta decisión informa al personal del

Grupo de Presupuesto para que procedan a aplicar esta contingencia.


Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de

Ejecución Presupuestal y Base de Datos de los CDP’s (Control dual), debidamente

actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo

de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada

“Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir

su manipulación por ninguna persona ajena al área.

4. DESCRIPCIÓN

Ordenador del gasto

Código:


Versión: 1

Fecha: 30/05/13

Página: 57 de 123

4.1 Realizar solicitud de CDP (Certificado de Disponibilidad Presupuestal) dirigido al Coordinador de

Presupuesto por medio de memorando, el cual es firmado directamente por el Ordenador del Gasto.

Funcionario Encargado / Grupo de Presupuesto

4.2 Recibir memorando y verificar que se encuentre la siguiente información: Descripción del gasto,

vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas

condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de

Presupuesto.

Coordinador / Grupo de Presupuesto

4.3 Revisar rubro presupuestal y saldo vigente en el Informe Base de Datos de los CDP’s (Control dual)”;

para lo cual procede así:

4.3.1 Si existe rubro presupuestal y vigencia: Entregar al Funcionario Encargado para continuar el proceso.

4.3.2 Si el gasto no está contemplado para la vigencia en curso: Informar al Ordenador del Gasto de la no

existencia del mismo a través de correo electrónico y en consecuencia se devuelve.

4.3.3 En caso de no existir apropiación vigente no afectada: Revisar al interior del rubro mayor la posibilidad

de realizar ajuste:

De ser posible la modificación del rubro mayor: Efectuar novedad en el Reporte de Informe de

Ejecución Presupuestal, guardando el equilibrio al interior del rubro mayor. Los documentos

soportes son entregados al Funcionario Encargado.

En caso de no ser posible la modificación al rubro mayor y existir disponibilidad en otro rubro,

seguir el procedimiento de “Modificación al Presupuesto”.


4.4 Ingresar en el reporte “Base de Datos de los CDP’s” (Control dual)”, la información relacionada con el

objeto asociado de la solicitud y el valor requerido.

4.5 Emitir CDP manualmente, con la información del objeto, valor y rubros presupuestales afectados.

Coordinador / Grupo de Presupuesto

4.6 Revisar el CDP en físico y verificar que su contenido sea el mismo de la solicitud realizada.

Código:


Versión: 1

Fecha: 30/05/13

Página: 58 de 123

4.7 Si la información es correcta, firmar el CDP; en caso contrario, solicitar su corrección al Funcionario

Encargado.


4.8 Entregar al Ordenador del Gasto solicitante el CDP original mediante comunicación firmada por el

Coordinador del Grupo de Presupuesto. Debe mantenerse una copia del CDP en el Grupo de

Presupuesto de la Vicepresidencia Financiera, con el sello de recibido del área ordenante.

5. RETORNO A LA NORMALIDAD

Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina

de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización

manual en dicho aplicativo de las actividades que se realizaron en contingencia:

5.1 Registrar la información del CDP emitido, afectando el rubro presupuestal con el que se

emitió el documento.

5.2 Modificar el rubro presupuestal en caso que se hayan realizado ajustes.



1 15/11/2012 Documento inicial

Código:


Versión: 1

Fecha: 30/05/13

Página: 59 de 123

CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE COMPROMISOS ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS

Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO


desarrollar el procedimiento de Registro Presupuestal de Compromisos, documento mediante el

cual se afecta de forma definitiva la apropiación presupuestal.

2. ALCANCE

Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,

caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina

las solicitudes de suscripción de compromisos a emitir en el día, de acuerdo con las necesidades

urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de

Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de

contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día,

atendiendo en orden de prioridad.


Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control

Presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDP’s

(Control Dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la

Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta

del Coordinador denominada “Reportes Consulta”, documentos a conservar debidamente

protegidos para que no permitir su manipulación por ninguna persona ajena al área.

No se puede generar ningún compromiso presupuestal sin contar con el respectivo CDP (Certificado de Disponibilidad Presupuestal).

4. DESCRIPCIÓN

Código:


Versión: 1

Fecha: 30/05/13

Página: 60 de 123

Ordenador del Gasto

4.1 Enviar documento soporte del compromiso al Coordinador del Grupo de Presupuesto para su registro

presupuestal, adjuntando los siguientes documentos: Certificado de Disponibilidad Presupuestal,

documentación soporte del compromiso (contrato, convenio, ordenes, etc.) y autorización de las

vigencias futuras si las hay.

Coordinador de grupo / Grupo de Presupuesto

4.2 Recibir y verificar que los documentos:

Sean correctos y que los valores en ellos consignados sean los mismos.

Sean congruentes el objeto del contrato contra el CDP.

Contenga la imputación presupuestal y la vigencia.

Se encuentre firmado por los funcionarios autorizados.

De encontrar correcta la información entrega al Funcionario Encargado; sí contiene inconsistencias

devuelve al Ordenador del Gasto.


4.3 Verificar en la Base de datos para control presupuestal de Compromisos y Obligaciones (Pagos) y la

Base de datos de los CDP’s (Control Dual), si existe saldo a comprometer del CDP en el respectivo

rubro, donde se ubica el compromiso suscrito, procediendo así:

4.3.1 Si existe saldo a comprometer en el CDP:

Calcular el valor a descontar del saldo.

Registrar la información del compromiso en la Base de datos para control presupuestal de Compromisos

y Obligaciones (Pagos).

Sellar el registro presupuestal del compromiso, el sello contiene los siguientes datos:

o CDP: Corresponde al número de CDP (Certificado de disponibilidad presupuestal), que respalda

el compromiso.

o RP: El número de Registro Presupuestal se coloca de forma manual y lo conforma la fecha

(AAAAMMDD) y un consecutivo diario.

o Rubro: Indica el nombre del rubro presupuestal afectado por el gasto.

o Código: Indica el código del rubro presupuestal afectado por el gasto.

o Fecha: Indica la fecha en la cual se hizo el registro presupuestal del compromiso.

o Registrada por: Corresponde a la firma del Coordinador del Grupo de Presupuesto.

Así mismo, estampar el sello de “Presupuesto registrado” en cada folio del compromiso registrado.

Código:


Versión: 1

Fecha: 30/05/13

Página: 61 de 123

Emitir comunicación al Grupo de Contratación sobre la emisión de registro presupuestal

de compromisos y anexar los documentos soporte al registro presupuestal y entregar al

Coordinador de Presupuesto.

4.3.2 Si no existe saldo por comprometer en el CDP, elaborar memorando rechazando el procedimiento, el

cual se entrega al Coordinador del Grupo de Presupuesto.

Coordinador de Grupo / Grupo de Presupuesto

4.4 Las suscripciones de compromisos donde existe suficiente saldo del CDP, revisar el registro

presupuestal, firmar y remitir comunicación al Grupo de Contratación; de encontrar alguna

inconsistencia, solicitar corrección al Funcionario Encargado.

4.5 En caso de no existir el saldo en el CDP, revisar y firmar la comunicación de devolución al Ordenador

del Gasto.

Funcionario Encargado / Grupo de Contratación

4.6 Recibir y continuar con el procedimiento “Legalización de contrato u orden de compra o servicio” (A4-2-

01).


Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la

Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la

actualización manual en dicho aplicativo de las actividades que se realizaron en contingencia:

5.1 Registrar la información del compromiso.




Código:


Versión: 1

Fecha: 30/05/13

Página: 62 de 123

CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE OBLIGACIONES ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO

Obtener un plan de contingencia ante la imposibilidad de operar en el sistema apoteosys para desarrollar el procedimiento de registro presupuestal de obligaciones, documento donde se autoriza el pago del compromiso adquirido, garantizando que este solo se comprometerá para este fin.

2. ALCANCE


caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera

determina las órdenes de pago a atender en el día, de acuerdo con las necesidades urgentes

de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de Presupuesto

para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de contingencia

se presta el servicio teniendo en cuenta el volumen de operaciones del día, atendiendo en

orden de prioridad.


Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control

Presupuestal de Compromisos y Obligaciones (Pagos), debidamente actualizado y

armonizado a la fecha, la cual reposa en la Carpeta Compartida del Grupo de Presupuesto de

la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada “Reportes

Consulta”, documento a conservar debidamente protegido para que no permitir su

manipulación por ninguna persona ajena al área.

Este procedimiento se rige por el Acuerdo 001 del 16 de junio del 2006, por el cual se aprueba el Estatuto de Presupuesto del ICETEX, en especial lo relacionado en el capítulo V, artículo 37.

4. DESCRIPCIÓN

Ordenador del Gasto

Código:


Versión: 1

Fecha: 30/05/13

Página: 63 de 123

Si la obligación corresponde a fondos, seguir el procedimiento “Registro Presupuestal de Obligaciones de Fondos” (A2-1-09).

Si la obligación no corresponde a fondos, seguir el procedimiento “Legalización de contrato u orden de compra o servicio.” (A4-2-01).

Ordenador del Gasto - Ejecutor del Presupuesto

4.1 Realizar y revisar la Orden de Pago F50 manual. De acuerdo con la naturaleza del compromiso realiza la orden de pago acompañada de los soportes necesarios (factura, resumen de nómina, caja menor, fondos, resoluciones de giro, crédito TAE, Access, Fiduciaria, giros).


4.2 Recibir la Orden de Pago F-50 manual y los respectivos soportes.

4.3 Revisar la Orden de Pago F-50 manual y los respectivos soportes, de conformidad con el contrato y/o normas establecidas y que los valores en ellos consignados sean los correctos, procediendo así:

4.3.1 Si no tiene los respectivos soportes completos, devolver la Orden de Pago F-50 manual sin tramitar,

dándose como no recibida al Ordenador del Gasto o Ejecutor del Presupuesto.

4.3.2 De presentarse los documentos soportes completos y correctos, revisar en la Base de datos para Control

Presupuestal de Compromisos y Obligaciones (Pagos):

4.3.2.1 Existencia de compromiso por cumplir, es decir que haya la disponibilidad de recursos para efectuar ese

pago de acuerdo con el compromiso adquirido.

4.3.2.2 Disponibilidad del saldo.

4.4 Si en la revisión determina que carece de compromiso por cumplir, proceder a emitir comunicación al

Ordenador del Gasto, devolviendo la orden e indicando el motivo.

4.5 Las órdenes de recursos propios se registran en la Base de datos para Control Presupuestal de

Compromisos y Obligaciones (Pagos), donde se actualiza automáticamente el saldo con la obligación

que se está tramitando.

4.6 Colocar sello de registro de obligación a la orden de pago, conteniendo la fecha de registro de obligación, e indica que los documentos ya fueron tramitados por el Grupo de Presupuesto.

Coordinador de Grupo / Grupo de Presupuesto

Código:


Versión: 1

Fecha: 30/05/13

Página: 64 de 123

4.7 Aquellas órdenes a devolver, verificar el motivo de la devolución junto con los documentos soportes, si es correcto, firmar comunicación al Ordenador del Gasto. En caso de encontrar inconsistencias en la devolución, informar al Funcionario Encargado para su corrección.

4.8 Las ordenes que cumplen con las condiciones de existencia de compromiso por cumplir,

revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos) su correcto registro; de estar en orden firmar la orden de pago F-50 manual en el campo denominado “Presupuesto”.

Analista 3 / Dirección de Contabilidad

4.9 SI se requiere causar sigue el procedimiento “Análisis contable de causaciones y cuentas por pagar”

(A2-3-10).

Profesional Universitario 1 Analista 3/ Dirección de Tesorería

Seguir procedimiento “Giro” (A2-2-04).

Analista 3 / Dirección de Contabilidad

Si hubo causación ingresa al aplicativo de Apoteosys y cancela las cuentas por pagar.


Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización manual en este sistema con las actividades que se realizaron en contingencia:

5.1 Ingresar los registros de las obligaciones realizadas. 5.2 Verificar que la Dirección de Contabilidad y la Dirección de Tesorería se haya causado la obligación y

realizado el pago respectivamente, de tal manera que si se realizó el giro, haya descontado del saldo

de la obligación el valor correspondiente y en caso de rechazo mantenga su saldo.




Código:


Versión: 1

Fecha: 30/05/13

Página: 65 de 123

CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE ANALISIS CONTABLE DE

CAUSACIONES Y CUENTAS POR PAGAR ANTE IMPOSIBILIDAD DE OPERAR EN EL SISTEMA

APOTEOSYS

Macro proceso: Gestión Financiera

Proceso: Gestión Contable y Tributaria

1. OBJETIVO

Obtener un plan de contingencia para el procedimiento crítico de Análisis contable de

causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys,

garantizando el correcto registro contable y la razonabilidad de los movimientos generados a

partir de las cuentas por pagar con sus respectivos impuestos, teniendo en cuenta la

normativa contable vigente.

2. ALCANCE

Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de

Riesgos, caso en el cual se procederá así:

El Director de Tecnología definirá las medidas para apoyar la contingencia, así como

aquellas actividades necesarias para solucionar la situación generada en el aplicativo

Apoteosys.

El Director de Contabilidad de la Vicepresidencia Financiera determinará los registros

contables a efectuar en el día, de acuerdo con las necesidades de las diferentes áreas de

la Entidad y sobre esta decisión informará al personal encargado para que procedan a

aplicar esta contingencia.


Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta y tercero, el

cual puede ser generado a partir del último backup del sistema o por la herramienta Biable.

Para ello, se contará con el apoyo de la Dirección de Tecnología, donde ejecutarán el

Procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del

Icetex.

La documentación soporte de la cuenta por pagar definida en los entregables establecidos

en el contrato u orden de servicio, debe estar completa y pre-validada por el Interventor que

le corresponda.

Código:


Versión: 1

Fecha: 30/05/13

Página: 66 de 123

La información del proveedor o contratista debe haber sido previamente verificada en

SARLAFT, dentro del proceso precontractual.

Los soportes de la cuenta de cobro o facturas deben ser entregados el mismo día en que

se genera la cuenta de cobro, previa revisión del Interventor que corresponda.

4. DESCRIPCIÓN

Coordinador de Tecnología / Dirección de Tecnología

Aplicar el procedimiento PCTI – BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex.

Técnico Administrativo / Dirección de Contabilidad

Recibir documentos del Grupo de Presupuesto y analizar los soportes recibidos validando la existencia del

contrato y que los soportes incluyan los valores relacionados en las cláusulas del contrato u órdenes de

compra o servicios que corresponda.

Si los documentos no están completos o hay extemporalidad en la entrega, solicitar la reversión de transacción

de registro presupuestal al Grupo de Presupuesto a través de correo electrónico.

Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta contable y tercero, situación que se

puede obtener a partir de la extracción directa de la base de datos del backup de la información con

apoyo de la Dirección de Tecnología o como segunda forma de generarlo a través del Reporteador

BIABLE.

Validar el origen de la cuenta:

Si el origen de la cuenta por pagar es un Fondo

Establecer la razonabilidad contable del movimiento, analizando a partir del estado de cuenta de los Fondos en

Administración, si el movimiento corresponde al registrado por el área de Fondos, datos que puede

observar en el Informe de Saldos y movimiento contables.

Efectuar liquidación de impuestos de conformidad con la norma contable y la reglamentación que para tal efecto

se encuentra establecida en el plan de cuentas financiero y el estatuto tributario y registrar la resolución

de giro que ampara la cuenta por pagar dentro del Informe de Saldos y movimiento contables.

Otras cuenta por pagar:

Consultar manualmente el “Auxiliar contable por tercero” dentro del Informe de Saldos y movimiento contables.

Código:


Versión: 1

Fecha: 30/05/13

Página: 67 de 123

Establecer el valor y oportunidad de liquidación de impuestos, haciendo verificación del clausulado contractual y

el pago de parafiscales. Verificar el registro del proveedor con sus obligaciones tributarias diligenciadas

dentro de la factura de proveedor, de acuerdo con el régimen tributario al cual pertenece,

estableciendo la razonabilidad contable del movimiento, analizando si el movimiento corresponde a una

provisión, gasto, anticipo o es un pago de impuestos.

Realizar la liquidación del pago de impuestos manualmente de conformidad con el análisis realizado y registrar el

movimiento de cuentas dentro del Informe de Saldos y movimiento contables.

Estampar el sello de “Contabilizado” en la Orden de Resolución u Orden de Pago, firmar y colocar la fecha de

procesado en la Dirección de Contabilidad.

Analizar el impacto del movimiento contable en los estados financieros y en los estados de cuentas de los fondos

en administración.

Entregar la Orden de Resolución u Orden de Pago y los documentos soportes a la Dirección de Tesorería para

que realice el giro.

Una vez realizado el desembolso de acuerdo con el procedimiento de “Giro” en la Dirección de Tesorería,

consolidar la información en el Informe de Saldos y movimiento contables.


Técnico Administrativo / Dirección de Contabilidad

5.1 Una vez confirme la Oficina de Riesgos la solución del aplicativo Apoteosys, obtener los

nuevos saldos de las cuentas contables en el Informe de Saldos de movimientos contables.

5.2 Extraer los movimientos contables que se realizaron durante la contingencia, generando un

archivo plano y subirlo en el aplicativo Apoteosys por la opción de Interfaces.

5.4 Comparar los saldos contables generados en el sistema Apoteosys con los producidos en el

Saldos de movimientos contables, debiendo existir consistencia en la información. En caso de

existir diferencia es necesario establecer la diferencia y corregir.

6. 6. HISTORIA DEL DOCUMENTO



CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE GIRO ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS

Código:


Versión: 1

Fecha: 30/05/13

Página: 68 de 123

Macro proceso: Gestión Financiera Proceso: Gestión Presupuestal 1. OBJETIVO


desarrollar el procedimiento de Giro, documento que integra las actividades a realizar para la

emisión de los diferentes pagos para cumplir con las obligaciones del Icetex.

2. ALCANCE


situación donde el Director de Tesorería de la Vicepresidencia Financiera determina las

Resoluciones de Giro y Orden de Pago a emitir en el día, de acuerdo con las necesidades

urgentes de las diferentes áreas de la Entidad y sobre esta decisión informa al Grupo de

Pagaduría para que procedan a aplicar esta contingencia. Es de aclarar, que en situación de

contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del día,

atendiendo en orden de prioridad.


3.1 Para el desarrollo del giro a través de Transferencia Electrónica o Tarjeta Recargable, es

necesario contar con el formato del archivo plano de Archivo de Transferencias de los Portales Bancarios donde el Icetex tiene Cuentas Corrientes / Ahorros.

4. DESCRIPCIÓN

Coordinador Grupo de Presupuesto / Vicepresidencia Financiera

Sigue el procedimiento de Registro Presupuestal de Obligaciones.

Cuando es una resolución de giro de crédito pasa directamente a la actividad 4.1.

Director de Contabilidad / Vicepresidencia Financiera

Código:


Versión: 1

Fecha: 30/05/13

Página: 69 de 123

Si es un giro de gastos al fondo o de funcionamiento sigue el procedimiento de Análisis contable de causaciones

y cuentas por pagar.

Técnico Administrativo / Grupo de Pagaduría / Dirección de Tesorería

4.1 Registrar hora y fecha de recepción de documentos de giro según corresponda:

En la hoja de ruta si se trata de Resolución de Giro.

En la “Relación de Órdenes de Pago” si se trata de órdenes de pago, donde adicionalmente se revisa que estén

como anexos los soportes requeridos, tales como: Cuentas de cobro, informe de actividades, facturas,

planillas, actas de recibo de satisfacción, certificaciones bancarias, etc.

Para cada uno de los casos relacionar en el archivo de Excel “Control de Ingreso”, los campos: Fecha y hora de

recepción, número de resolución Orden de Pago, Preparador asignado, oficina ordenadora del pago,

moneda en que se pagará y programa que afecta el pago.

Si se presenta alguna inconsistencia en la revisión y registro, se hace devolución a la Oficina Ordenadora del

Gasto para los respectivos ajustes copiando al Grupo de Presupuesto y Dirección de Contabilidad y

registrando la novedad en el archivo de “Control de Ingreso”.

4.2 Entregar los documentos al Preparador de Pagos asignado, según la tipología del pago, el recurso a

pagar y el tipo de moneda del pago.

Preparador de Pagos / Grupo de Pagaduría / Dirección de Tesorería

4.3 Recibir las Ordenes de Pago y/ Resoluciones de Giro.

4.4 Verificar que los documentos estén firmados y los que se requieran estén causados y contengan los

soportes necesarios para realizar el pago. Así mismo, verifica que los valores de las órdenes de pago

y/o resoluciones de giro concuerden con los valores de los soportes anexados:

Si la información requerida para los giros está incorrecta o incompleta, debe devolverse a la Oficina

Ordenadora del Gasto para los ajustes respectivos copiando al Grupo de Presupuesto y Dirección de

Contabilidad.

Si la información es correcta, efectuar actividad 4.5.

4.5 Verificar los terceros a girar en el reporte en Excel “Atención de Embargos”, donde se encuentra la

relación de embargos requeridos por los Entes Judiciales:

Presenta embargos: Proceder de acuerdo a la Guía de Embargos publicada y su correspondiente

formato.

No presenta embargos, continua con la actividad 4.6.

Código:


Versión: 1

Fecha: 30/05/13

Página: 70 de 123

4.6 Clasificar el recurso a pagar: Propios, TAE, Fondos y verificar que la cuenta a debitar posea los recursos

disponibles.

4.7 Aplicar la guía correspondiente, de acuerdo con la tipología del pago:

Cheques de Gerencia: Proceder de igual manera con lo descrito en la Guía G59.

Transferencia Electrónica: Proceder de acuerdo con lo descrito en el numeral 5 de este

documento.

G61 Guía con Nota Débito

G63 Guía Tarjetas Recargables

5. GUIA DE PAGO DE TRANSFERENCIA ELECTRONICA


5.1 Llenar de forma manual el archivo plano de pagos denominado “Archivo de Transferencias”, según la estructura técnica de cada Banco, que se encuentra definido en el Grupo de Pagaduría.

5.2 Ingresar al Portal Bancario, identificándose con su usuario y dispositivo de seguridad asignado y

cargar el archivo plano “Archivo de Transferencias”. 5.3 Imprimir directamente del Portal Bancario el proceso de pagos definitivo, impresión que debe

contener la siguiente información:

Cuenta a debitar Icetex

Nombre del destinatario de cada giro

Identificación del destinatario de cada giro

Banco destino

Número de cuenta destino

Tipo de cuenta

Valor a transferir

Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería

5.4 Verificar y asignar el punteo del proceso de pagos definitivo a un funcionario diferente al que

Preparador de Pagos que lo elaboró, el cual verifica el Archivo de Transferencias cargado en el Portal Bancario contra los soportes físicos de cada pago.

Funcionario asignado de punteo / Grupo de Pagaduría / Dirección de Tesorería

Código:


Versión: 1

Fecha: 30/05/13

Página: 71 de 123

5.5 Revisar los datos impresos del Portal Bancario frente a los soportes físicos de cada giro (Resolución de giro, Orden de Pago u otro documento soporte de la ordenación del giro), validando que coincida:

El número de identificación del beneficiario

Número y tipo de cuenta bancaria destino

Entidad bancaria destino

Valor del giro

5.6 Si se encuentra todo correcto, procede a firmar en señal de revisado, indicando fecha y número de registros verificados y novedades encontradas.

Coordinador de Pagaduría / Grupo de Pagaduría / Dirección de Tesorería

5.7 Asignar número de proceso mediante numerador y registrar en la Planilla de Control “Planilla Pagos.xls", la siguiente información: Consecutivo, tema, fecha pago, Fecha reproceso, No. de registros, Valor, Usuario preparador, Recurso, Novedades, Banco a debitar, Respuesta y Funcionario que puntea.

5.8 Ingresar al Portal Bancario a verificar que la cuenta seleccionada para el débito de los recursos

esté correcta, la información generada se encuentre acorde con los soportes ya verificados y punteados y realiza la aprobación del giro.

Director de Tesorería / Dirección de Tesorería

5.9 Ingresar al Portal Bancario correspondiente al pago preparado y verificar que los soportes recibidos tengan las firmas de quien realizó la preparación en el portal, la verificación de los registros y la firma del primer aprobador, valida el valor del lote en el portal contra el físico, cantidad de registros y nombre del lote. De encontrar todo en orden, procede con la autorización final del proceso.


5.10 Confirmar en el Portal Bancario que las aprobaciones hayan sido efectivas y el proceso no se

encuentra rechazado o declinado. 5.11 Generar y remitir vía correo electrónico al funcionario encargado de digitación, archivo de Excel

denominado “Formulación”, con los datos necesarios de los Giros realizados por la Entidad para desarrollar el Proceso de Digitación, para publicar en la Página Web del Icetex.

5.12. Continuar Procedimiento “Boletín de Tesorería”. 5.13 Tres días hábiles después de realizada la aprobación de la transferencia, procede a ingresar al

Portal Bancario por donde se realizó el pago y genera el archivo de respuestas que confirma las operaciones aprobadas y las rechazadas con su respectiva causal de no pago.

Código:


Versión: 1

Fecha: 30/05/13

Página: 72 de 123


Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina

de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización

manual en dicho aplicativo de las actividades que se realizaron en contingencia, como son:

Procedimiento de Giro


6.1 Rechazar en el sistema las Órdenes de Pago y/o Resoluciones de Giros que se encuentran

incorrectas o incompletas y fueron devueltas al Ordenador del Gasto.

6.2 Si el pago a realizar corresponde a una Resolución ACCES, ingresa al aplicativo financiero y

confirma/ rechaza / aplaza las resoluciones de giro mediante la opción CONT152P6 – Confirmar

Resoluciones con detalles por categoría en Tesorería.

6.3 Si se trata de una Resolución diferente a ACCES, ingresar al aplicativo financiero y confirma/

rechaza / aplaza las Resoluciones mediante la opción CONT152P2 – Confirmación Resoluciones

en Tesorería.

6.4 Si se trata de una Orden de Pago, ingresar al aplicativo financiero y autorizar mediante la opción

TES015P2 –Autorización Financiera de Pagos, luego mediante la opción TES017P1 – Egresos,

se confirma el proceso de pago y genera el Comprobante de Egreso.

6.5 De ser necesario realizar anulación de alguna Orden de Pago se ingresa a la opción TES024P3

– Anular documentos de pago.

Guía de Transferencias Electrónicas


Código:


Versión: 1

Fecha: 30/05/13

Página: 73 de 123

6.6 Confirmar las Resoluciones por la opción “Confirmación de Desembolsos de Resoluciones” y las

deja en estado de giro confirmado.

6.7 Cargar Archivo de Respuestas en Apoteosys, aplicando los abonos confirmados y los rechazos,

debe validar el soporte bancario antes de efectuar la aplicación en Apoteosys con la causal

respectiva.




Código:


Versión: 1

Fecha: 30/05/13

Página: 74 de 123

CONTINGENCIA DEL PROCEDIMENTO DE CORRESPONDENCIA EXTERNA – SECRETARIA GENERAL Macroproceso: Gestión Documental Proceso: Gestión de Correspondencia 1. OBJETIVO

Describir la contingencia del procedimiento de Correspondencia Externa, considerando los

escenarios de causas de interrupción, los contactos de personal y los recursos mínimos

necesarios.

2. ALCANCE

El documento cubre la contingencia de correspondencia externa, así:

Correspondencia recibida: Va desde su recepción en el punto de Correspondencia del Icetex

en Bogotá o en los Centros de Atención Nacional (CAN) hasta su entrega al área destino para

su atención.

Correspondencia enviada: Su alcance inicia con la emisión del oficio en las áreas del Icetex y

culmina en la entrega del mismo al Operador de Servicio Postal.

3. EVENTOS DE CONTINGENCIA

A continuación se describen las acciones a seguir en los diferentes escenarios que pueden

causar interrupción de la operación:

3.1 CONTINGENCIA POR AUSENCIA DE PERSONAL

Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para


comunicación:

3.1.1 El funcionario ausente activa la Cascada Telefónica y se comunica con el Coordinador del Grupo

de Correspondencia de Secretaria General (Ver Planilla de Contactos Grupo de

Correspondencia – Secretaria General).

Código:


Versión: 1

Fecha: 30/05/13

Página: 75 de 123

3.1.2 El Coordinador del Grupo de Correspondencia activa la contingencia por “Ausencia de personal”

y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna

funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de

Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 “Formato

asignación de accesos a sistemas de información.

3.1.3 El Coordinador del Grupo de Correspondencia verifica la continuidad exitosa de los procesos.

3.2 CONTINGENCIA DE LUGAR

3.2.1 El Jefe de Riesgos activa la cascada telefónica y comunica el evento de incidente mayor al

Contacto de Departamento Primario – Secretaria General, quien a su vez informa al funcionario

de nivel 3 – Coordinador del Grupo de Correspondencia del incidente ocurrido y las instrucciones

de activación de la contingencia de lugar.

3.2.2 El Coordinador del Grupo de Correspondencia contacta al personal crítico (equipo de

recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de

trabajo”.

3.2.3 El Coordinador del Grupo de Correspondencia informa al Jefe de Riesgos o su suplente que

ocupará los puestos de trabajo en el lugar alterno de trabajo.

3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Correspondencia solicita el kit de

contingencia (recursos de escritorio) y al personal crítico que inicie la conectividad a los

programas requeridos.

3.2.5 El Coordinador del Grupo de Correspondencia confirma al Jefe de Riesgos la correcta

continuidad de los procesos.

3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.

3.2.7 El Coordinador del Grupo de Correspondencia devuelve el “kit de contingencia” para su custodia

nuevamente.

3.2.8 El Coordinador del Grupo de Correspondencia comunica al personal crítico el “Retorno a la

normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.

Código:


Versión: 1

Fecha: 30/05/13

Página: 76 de 123

3.3 CONTINGENCIA POR FALLAS TECNOLOGICAS

La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya


3.3.1 Contingencia por fallas de software, hardware o telecomunicaciones

El procedimiento de Correspondencia Externa utiliza los siguientes aplicativos para el

desarrollo de las actividades: Mercurio y Correo Electrónico. Ante fallas tecnológicas se

procede de la siguiente manera:

3.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Correspondencia.

3.3.1.2 El Coordinador del Grupo de Correspondencia informa la situación presentada al Coordinador

de Infraestructura de la Dirección de Tecnología.

3.3.1.3 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de

recuperación al Jefe de la Oficina de Riesgos y al Director de Tecnología.

3.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de

tecnología (servidores backup, sistemas de recuperación de información, enlaces de

comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la

Oficina de Riesgos, relacionada a continuación:

3.3.2 Contingencia manual para el procedimiento de Correspondencia Externa ante

fallas tecnológicas

La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas

que se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que

estos dos (2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al

considerar el correo electrónico como contingencia de comunicación del sistema mercurio.

A continuación se describen los procedimientos a seguir en contingencia manual:

CONDICIONES GENERALES

La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s)

mercurio y/o correo electrónico supera el tiempo objetivo de recuperación (RTO) del

procedimiento de Correspondencia Externa. El Coordinador del Grupo de Correspondencia de

Secretaria General procede a informar a los usuarios de todas las áreas y Centros de

Código:


Versión: 1

Fecha: 30/05/13

Página: 77 de 123

Atención Nacional (CAN), el incidente e indica las instrucciones para operar con el

procedimiento de contingencia y mecanismo de comunicación a utilizar.

En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las

contingencias estimadas:

Contingencia Correspondencia externa recibida Correspondencia externa

enviada

Bogotá CAN Bogotá CAN

Falla del

sistema

mercurio

Centralizada y

recibida por el

Grupo de

Correspondencia

Enviar escaneado el

oficio recibido y

remitirlo al correo

electrónico [email protected]

y [email protected]

Entregar oficio al

Grupo de

Correspondencia

para envío a su

destino

Informar por

correo

electrónico

los datos

básicos del

oficio para

otorgar No.

radicación

Falla del

sistema

mercurio y

correo

electrónico

Suministrar por

teléfono datos del

oficio para otorgar

No. Radicación

Suministrar

por teléfono

datos del

oficio para

otorgar No.

radicación Tabla No. 1 – Contingencia del Procedimiento de Correspondencia Externa

Nota: Las comunicaciones que se gestionen dentro de los Centros de Atención Nacional

(CAN) también deben remitir los datos de la misma.

De esta manera se asegura la adecuada gestión de la correspondencia externa, como lo

exige el Acuerdo 060 del 2001 del Archivo General de la Nación.

DESCRIPCION DEL PROCESO

3.3.2.1 CORRESPONDENCIA EXTERNA RECIBIDA

Beneficiarios, proveedores, entidades y operadores de servicios postales

3.3.2.1.1Entregar documentación al punto de Correspondencia del Icetex en Bogotá o en los Centros

de Atención Nacional (CAN).

mailto:[email protected]

Código:


Versión: 1

Fecha: 30/05/13

Página: 78 de 123

Técnico Administrativo de Secretaría General – Grupo de Correspondencia / Outsourcing de Atención al Cliente en Centro de Atención Nacional (CAN)

3.3.2.1.2Recibir y verificar que el oficio contenga los documentos soportes (cuando aplique) y los datos

básicos que se requieren para radicación.

3.3.2.1.3Estampar sello de recepción del Icetex, colocar fecha, hora y firma de quien recibe el oficio.

3.3.2.1.4Escanear el (los) oficio(s) y documentos soportes (cuando aplique), si la falla es del sistema

mercurio.

3.3.2.1.5Si el oficio es recibido en un Centro de Atención Nacional (CAN), el Outsourcing de Atención

al Cliente informa del recibo del oficio al Grupo de Correspondencia – Secretaria General a

través de correo electrónico, adjuntando la imagen escaneada. En caso de fallas en los dos

sistemas se informa por teléfono la recepción del respectivo oficio con los datos básicos al

Grupo de Correspondencia.

Funcionario Responsable de Secretaria General – Grupo de Correspondencia

3.3.2.1.6Con el fin de determinar el número de radicación a iniciar en contingencia, el funcionario

responsable del Grupo de Correspondencia – Secretaria General establece el último número

de radicación que otorgó el sistema mercurio emitido por esa área y a éste le suma 30

números consecutivos, en consideración a que pudieron generarse nuevas radicaciones en

otras áreas o Centros de Atención Nacional (CAN) posteriores a la asignada por el Grupo de

Correspondencia, previo a la falla del sistema.

3.3.2.1.7Recibir oficio y diligenciar Ficha de Radicación en el documento en Excel denominado

“Radicador Correspondencia Externa”, el cual contiene los datos básicos de la

correspondencia.

3.3.2.1.8Guardar las imágenes de los oficios que se obtuvieron en el computador a su cargo, donde se

mantendrán todas las comunicaciones dentro de la contingencia, otorgando como nombre el

número de radicación.

3.3.2.1.9Leer y analizar la comunicación con el fin de identificar la ruta de destino del Oficio y distribuir

así:

Oficio a tramitar en los Centros de Atención Nacional: Informar el número de radicación a

través de correo electrónico y/o teléfono.

Oficio a tramitar en Bogotá: Distribuir el oficio de manera física al Técnico Administrativo

del Área responsable de acuerdo con la guía de Distribución de Correspondencia y

Código:


Versión: 1

Fecha: 30/05/13

Página: 79 de 123

Preparación y Envío de Tulas (se usa cuando el documento se traslada entre ciudades).

Como evidencia de la entrega diligenciar y firma el formato de Excel denominado

“Correspondencia entregada”.

Área Destino

3.3.2.1.10 Recibir oficio, estampar sello como acuse de recibo y tramitar la solicitud respectiva.

3.3.2.1.11 Continuar con el procedimiento Administración Archivos de Gestión.

3.3.2.2 CORRESPONDENCIA EXTERNA ENVIADA

Funcionario responsable en cada área / Centros de Atención Nacional /Outsourcing de Atención al Cliente

3.3.2.2.1De encontrarse en contingencia el sistema mercurio, escanear oficio(s) a enviar como

correspondencia externa, el cual debe haber cumplido con el proceso de revisión, aprobación

y firma del Jefe o funcionario encargado y proceder a informar al funcionario responsable del

Grupo de Correspondencia – Secretaria General, indicando el envío del (los) oficio(s) para

radicación y adjuntando el (los) soporte(s) (cuando aplique), como lo indica la Tabla No. 1

“Contingencia del Procedimiento de Correspondencia Externa”

Funcionario responsable de Secretaria General – Grupo de Correspondencia

3.3.2.2.2Sobre los oficios que se obtengan en original o escaneados se verifica que los documentos

contengan los documentos indicados en el oficio y que se hallen los datos básicos a requerir

para radicación.

3.3.2.2.3Diligenciar Ficha de Radicación en el documento de Excel “Radicador Correspondencia

Externa”, el cual contiene los datos básicos del oficio.

3.3.2.2.4Guardar imagen de los oficios obtenidos en el computador, asignando como nombre el

número de radicación.

3.3.2.2.5Generar documentos y/o planillas para el Operador de Servicio Postal.

3.3.2.2.6Realizar guía de Alistamiento de Correspondencia y entrega al Operador de Servicios

Código:


Versión: 1

Fecha: 30/05/13

Página: 80 de 123

3.3.2.3 CORRESPONDENCIA ENVIADA MASIVA

Funcionario emisor

3.3.2.3.1Elaborar texto en Word, el cual es el mismo para todos los destinatarios de la

correspondencia masiva.

3.3.2.3.2Generar archivo en Excel con la información y estructura definida para envío masivo.

3.3.2.3.3Solicitar al Grupo de Correspondencia – Secretaria General la entrega de comunicaciones

masivas, adjuntando los archivos del texto modelo en Word y el listado de remitentes en

Excel.


3.3.2.3.4Proceder de igual manera a los descritos en los numerales 3.3.2.2.3 al 3.3.2.2.6 de

Correspondencia Externa Enviada. Recibir y verificar que los documentos contengan los

documentos indicados en la comunicación y que se hallen los datos básicos que se requieren

para radicación.

El Operador de Servicios Postales realiza la actividad de impresión de correspondencia

masiva. Es de aclarar, que el área solicitante debe enviar la firma autorizada digitalizada.

3.3.3.3 RETORNO A LA NORMALIDAD


3.3.3.3.1Una vez la Oficina de Riesgos informa la solución del sistema mercurio, el funcionario

responsable del Grupo de Correspondencia procede a identificar el último número de

radicación asignado en contingencia.

Coordinador de Grupo de Correspondencia- Secretaria General

3.3.3.3.2Informar a los usuarios de las áreas y Centros de Atención Nacional para que reanuden la

operativa en este sistema, indicándoles el número de radicación a iniciar en el sistema

mercurio, que será el próximo al asignado en contingencia.


Código:


Versión: 1

Fecha: 30/05/13

Página: 81 de 123

3.3.3.3.3Adjuntar en el sistema mercurio, el archivo de Excel “Radicador de Correspondencia externa”,

el cual contiene las comunicaciones externas enviadas y recibidas durante la interrupción.

3.3.3.3.4Verificar que exista coincidencia entre el número de radicación otorgado en contingencia y el

asignado en el sistema mercurio.

3.3.3.3.5Dado que la numeración de radicación en contingencia se inició desde un número que se

desconocía si era certero, verificar si hubo números que no fueron utilizados en el sistema; de

ser así, emitir Acta de No Utilización de Números de Radicación, explicando que obedeció a

un proceso de contingencia por interrupción del sistema mercurio.

3.3.3.3.6Firmar Acta como funcionario responsable y entregar al Coordinador del Grupo de

Correspondencia – Secretaria General.

Coordinador de Grupo de Correspondencia – Secretaría General

3.3.3.3.7Revisar numeración de radicación no utilizada en el sistema mercurio y verificar que esta

misma se encuentre relacionada en el Acta de No Utilización de Números de Radicación; si

esta todo en orden, firmar el documento en señal de aceptación.

4.HISTORIA DEL DOCUMENTO



Código:


Versión: 1

Fecha: 30/05/13

Página: 82 de 123

CONTINGENCIA DEL PROCEDIMENTO DE CONSULTA DE ARCHIVO – SECRETARIA GENERAL Macroproceso: Gestión Documental Proceso: Gestión de Archivo

1. OBJETIVO

Describir la contingencia del procedimiento de Consulta de Archivo, considerando los escenarios

de causas de interrupción, los contactos de personal y proveedores.







comunicación:


de Archivo de Secretaria General (Ver Planilla de Contactos Grupo de Archivo – Secretaria

General).

2.1.2 El Coordinador del Grupo de Archivo activa la contingencia por “Ausencia de personal” y de ser

necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al

colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad

Tecnológica la reasignación de perfiles, a través del formato F121 “Formato asignación de

accesos a sistemas de información.

2.1.3 El Coordinador del Grupo de Archivo confirma al Jefe del Area la continuidad exitosa de los

procesos.


Código:


Versión: 1

Fecha: 30/05/13

Página: 83 de 123



de nivel 3 – Coordinador del Grupo de Archivo del incidente ocurrido y las instrucciones de

activación de la contingencia de lugar.

2.2.2 El Coordinador del Grupo de Archivo contacta al equipo de recuperación e informa el incidente

ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”.

2.2.3 El Coordinador del Grupo de Archivo informa al Jefe de Riesgos o su suplente que ocupará los

puestos de trabajo en el Lugar alterno de trabajo.

2.2.4 En el Lugar alterno de trabajo, el Coordinador del Grupo de Archivo solicita el kit de contingencia

(recursos de escritorio) y al personal clave que inicie la conectividad a los programas requeridos.

2.2.5 El Coordinador del Grupo de Archivo confirma al Jefe de Riesgos la correcta continuidad de los

procesos.

2.2.6 El Jefe de Riesgos confirma la disponibilidad y funcionabilidad del sitio normal de trabajo.

2.2.7 El Coordinador del Grupo de Archivo devuelve el “kit de contingencia” para su custodia

nuevamente.

2.2.8 El Coordinador del Grupo de Archivo comunica al personal el “Retorno a la normalidad” y

coordina el desplazamiento al “Sitio base de trabajo”.





El procedimiento de Consulta de Archivo para el desarrollo de las actividades utiliza los

aplicativos de mercurio y correo electrónico. Ante fallas tecnológicas se procede de la siguiente

manera:

2.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Archivo.

2.3.1.2 El Coordinador del Grupo de Archivo informa la situación presentada al Coordinador de

Infraestructura de la Dirección de Tecnología.

Código:


Versión: 1

Fecha: 30/05/13

Página: 84 de 123

2.3.1.3 El Coordinador de Infraestructura da respuesta sobre la gravedad del evento y tiempo de


2.3.1.4 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de tecnología

(servidores backup, sistemas de recuperación de información, enlaces de comunicación), de

ser necesario se da inicio a la contingencia manual relacionada a continuación:

2.3.2 Contingencia manual para el procedimiento de Consulta de Archivo ante fallas

tecnológicas


La Dirección de Tecnología evalúa e informa a la Oficina de Riesgos, las fallas tecnológicas que

se presentan sobre los aplicativos mercurio y/o correo electrónico. Es de anotar que estos dos

(2) sistemas se encuentran en servidores diferentes como estrategia tecnológica al considerar el

correo electrónico contingencia de comunicación del sistema mercurio.

En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las

contingencias estimadas:

Falla en aplicativo de Contingencia

estimada

Solicitar a: Respuesta por:

Mercurio Correo electrónico Correo electrónico

[email protected]

Correo electrónico

del solicitante

Mercurio y correo

electrónico

Teléfono Outsourcing de

Archivo

Bogotá: Presencial

Territoriales:

Correspondencia Tabla No. 1 – Contingencia de Procedimiento de Consulta de Archivo

La Oficina de Riesgos activa la contingencia cuando la recuperación del (os) sistema(s) supera

el Tiempo Objetivo de Recuperación (RTO) del procedimiento de Consulta de Archivo. El

Coordinador del Grupo de Archivo de Secretaria General informa a todas las áreas y Centros de

Atención Nacional (CAN) el incidente e indica las instrucciones para operar con el procedimiento

de contingencia y mecanismo de comunicación a utilizar de acuerdo con la anterior tabla.

A continuación se describen los procedimientos a seguir en contingencia manual:

2.3.2.1 CONSULTA DE IMÁGENES

Código:


Versión: 1

Fecha: 30/05/13

Página: 85 de 123

Funcionario autorizado del área

2.3.2.1.1 Ante la necesidad de una copia de una imagen, el funcionario del área solicitante utiliza el

medio de comunicación indicado por el Coordinador del Grupo de Archivo – Secretaria

General, las cuales son:

Fallas en el sistema mercurio: Realice solicitud por correo electrónico al correo

[email protected]

Fallas en los sistemas mercurio y correo electrónico: Realice solicitud por teléfono al

Outsourcing de Archivo.

Los documentos que actualmente se encuentran digitalizados son títulos valores y carpetas

de beneficiarios, en caso de requerirse un documento diferente a esta tipología, es necesario

validarse previamente con el Coordinador del Grupo de Archivo.

2.3.2.1.2 La solicitud debe contemplar los siguientes datos:

Tipo de documento a requerir

Nombre y apellido del titular del documento

No. de identificación del titular del documento

Outsourcing de Archivo

2.3.2.1.3 Recibir solicitud de copia de imágenes de documento (correo electrónico o vía telefónica).

2.3.2.1.4 Registrar información en el formato “Solicitud de Imágenes en Contingencia”.

2.3.2.1.5 Buscar documento en la base de datos de consulta de archivo.

2.3.2.1.6 Enviar copia de la imagen al funcionario solicitante a través de:

Solicitud efectuada por correo electrónico: Enviar al correo electrónico del solicitante.

Solicitud realizada por Teléfono: Informar por teléfono al funcionario solicitante acercarse

a la Oficina del Outsourcing de Archivo a recoger copia de la imagen; en caso que el

requerimiento sea de un Centro de Atención Nacional, se remite por correo interno la

copia de la imagen.

Funcionario autorizado del área

2.3.2.1.7 Recibir y visualizar copia de los documentos y resolver la consulta.

Código:


Versión: 1

Fecha: 30/05/13

Página: 86 de 123

2.3.2.2 PRESTAMO DE UN DOCUMENTO FISICO

Funcionarios áreas

2.3.2.2.1 Solicitar la ubicación del mismo según las instrucciones suministradas por el Coordinador del

Grupo de Archivo, de acuerdo con la situación presentada, pudiendo ser:

Fallas en la aplicación de mercurio: Emitir mensaje de solicitud de ubicación del

documento, dirigido al correo electrónico: [email protected].

Fallas en los aplicativos de mercurio y correo electrónico: Consultar de forma personal.


2.3.2.2.2 Recibir la solicitud de ubicación del documento y proceder a buscarlo en la base de datos

del sistema de consulta de archivo, efectuando radicación en la Planilla de Préstamos.

2.3.2.2.3 Dar respuesta de los documentos encontrados por la misma vía que se solicitó:

Fallas en la aplicación de mercurio: Emitir mensaje de respuesta de ubicación del

documento, dirigido al correo electrónico del funcionario solicitante.

Fallas en los aplicativos de mercurio y correo electrónico: Responde de forma personal

o por teléfono al funcionario solicitante.

2.3.2.2.4 De no encontrarse la ubicación del documento, emitir certificación de no ubicación del

documento y dirigirla al Coordinador del Grupo de Archivo de Secretaria General, quien

procede a contestar por comunicación al área solicitante.

Funcionarios de Áreas

2.3.2.2.5 Recibir respuesta con los datos de la ubicación del documento solicitado.

2.3.2.2.6 Diligenciar el formato Autorización de consulta al archivo (F228) y entregar dicho formato al

Outsourcing de Archivo.


mailto:[email protected]

Código:


Versión: 1

Fecha: 30/05/13

Página: 87 de 123

2.3.2.2.7 Recibir formato Autorización de consulta al archivo (F228) y ubicar documento en la base

de datos del sistema de consulta de archivo.

2.3.2.2.8 Notificar por vía telefónica al funcionario solicitante de la ubicación del documento.

2.3.2.2.9 Diligenciar el formato “Control de préstamos de unidades documentales o expedientes”

(F146).

2.3.2.2.10 Actualizar Base de Datos “Préstamos Icetex”, cambiando el estado del documento a “Listo

entrega”.

Funcionarios Áreas

2.3.2.2.11 Al recibir notificación, acercarse al Outsourcing de Archivo a recoger documento y firmar

como “Recibido” en el formato “Control de préstamos de unidades documentales o

expedientes” (F146).

2.3.2.2.12 Utilizar el documento y resolver la consulta.

2.3.2.2.13 Devolver documento al Area de Prestamos de Archivo.


2.3.2.2.14 Recibir el documento y actualizar el estado a “Devuelto” en la Base de Datos “Préstamos

Icetex”.

2.3.2.2.15 Enviar el documento a custodia.

2.3.2.2.16 Recibir unidades de conservación documental y archivar nuevamente.

2.3.2.2.17 Actualizar estado a “Disponible” en la Base de Datos “Préstamos Icetex”.

2.3.2.3. RETORNO A LA NORMALIDAD

Coordinador Grupo de Archivo de Secretaria General

2.3.2.3.1 Una vez confirmado que la Oficina de Riesgos informa la solución del incidente en los

aplicativos de mercurio y/o correo electrónico, el Coordinador del Grupo de Archivo

Código:


Versión: 1

Fecha: 30/05/13

Página: 88 de 123

informará a los usuarios de las áreas y Centro de Atención Nacional para que reanuden la

operativa en este sistema.


2.3.2.3.2 Actualizar el sistema mercurio con los préstamos de documentos físicos, tomando como

referencia la base de datos de Préstamos Icetex.




Código:


Versión: 1

Fecha: 30/05/13

Página: 89 de 123

CONTINGENCIA DE LA GUIA DE PAGO DE SERVICIOS PUBLICOS Y ADMINISTRACIONES – SECRETARIA GENERAL Macro proceso: Gestión Administrativa y Apoyo Logístico Proceso: Servicios Generales y Apoyo Logístico 1. OBJETIVO

Describir la contingencia del procedimiento de Pago de Servicios Públicos y Administraciones,

considerando los escenarios que causan de interrupción, los contactos de personal y los

recursos mínimos necesarios.

2. ALCANCE

El documento cubre la contingencia de pago de servicios públicos y administraciones urgentes

de tramitar en un evento de interrupción de la operación.







comunicación:


de Administración de Recursos Físicos de Secretaria General (Ver Planilla de Contactos Grupo

de Recursos Físicos – Secretaria General).

3.1.2 El Coordinador del Grupo de Administración de Recursos Físicos activa la contingencia por

“Ausencia de personal” y de ser necesario comunica el evento al Jefe de Area. Distribuye

procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo

requiere, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del

formato F121 “Formato asignación de accesos a sistemas de información.

Código:


Versión: 1

Fecha: 30/05/13

Página: 90 de 123

3.1.3 El Coordinador del Grupo de Administración de Recursos Físicos verifica la continuidad exitosa

de los procesos.




de nivel 3 – Coordinador del Grupo de Administración de Recursos Físicos del incidente ocurrido

y las instrucciones de activación de la contingencia de lugar.

3.2.2 El Coordinador del Grupo de Administración de Recursos Físicos contacta al personal crítico

(equipo de recuperación), e informa el incidente ocurrido, solicitando el desplazamiento al “Lugar

alterno de trabajo”.

3.2.3 El Coordinador del Grupo de Administración de Recursos Físicos informa al Jefe de Riesgos o

su suplente que ocupará los puestos de trabajo en el lugar alterno de trabajo.

3.2.4 En el lugar alterno de trabajo, el Coordinador del Grupo de Administración de Recursos Físicos

solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la

conectividad a los programas requeridos.

3.2.5 El Coordinador del Grupo de Administración de Recursos Físicos confirma al Jefe de Riesgos la

correcta continuidad de los procesos.

3.2.6 El Jefe de Riesgos informa la disponibilidad y funcionabilidad del sitio normal de trabajo.

3.2.7 El Coordinador del Grupo de Administración de Recursos Físicos devuelve el “kit de

contingencia” para su custodia nuevamente.

3.2.8 El Coordinador del Grupo de Administración de Recursos Físicos comunica al personal crítico el

“Retorno a la normalidad” y coordina el desplazamiento al “Sitio base de trabajo”.




Código:


Versión: 1

Fecha: 30/05/13

Página: 91 de 123


El procedimiento de Pago de Servicios Públicos y Administraciones utiliza el aplicativo

Apoteosys para el desarrollo de las actividades. Ante fallas tecnológicas se procede de la

siguiente manera:

3.3.1.5 El usuario comunica el evento al Coordinador del Grupo de Administración de Recursos

Físicos.

3.3.1.6 El Coordinador del Grupo de Administración de Recursos Físicos informa la situación

presentada al Coordinador de Infraestructura de la Dirección de Tecnología.

3.3.1.7 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de


3.3.1.8 Si el daño es importante, el Director de Tecnología activa el plan de contingencia de

tecnología (servidores backup, sistemas de recuperación de información, enlaces de

comunicación), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la

Oficina de Riesgos, relacionada a continuación:

3.3.2 Contingencia manual para el procedimiento de pago de servicios públicos y

administraciones ante fallas tecnológicas


La Oficina de Riesgos activa la contingencia cuando la recuperación del sistema Apoteosys

supera el tiempo objetivo de recuperación (RTO) del procedimiento de Pago de Servicios

Públicos y de Administraciones. El Coordinador del Grupo de Administración de Recursos

Físicos de Secretaria General procede a informar a su Grupo de Trabajo el incidente y dar

instrucciones para operar con el procedimiento de contingencia.

Para el desarrollo de este procedimiento se requiere el formato manual de Orden de Pago.

DESCRIPCIÓN DEL PROCESO

Técnico / Secretaria General Grupo de Correspondencia / Líder Outsourcing / Puntos de Atención Nacional

Código:


Versión: 1

Fecha: 30/05/13

Página: 92 de 123

Para la recepción de facturas de pago de servicios públicos y administraciones de bienes inmuebles de

la ciudad de Bogotá, se realizan las actividades del procedimiento “Correspondencia Externa”.

Para la recepción de las facturas de pago de servicios públicos y de administraciones de bienes

inmuebles fuera de Bogotá, se realizan las actividades de la Guía “Preparación y Envío de Tulas”.

Técnico / Secretaria General – Grupo de Administración de Recursos Físicos

3.3.2.1 Recibir facturas de pago de servicios públicos y administradores de bienes inmuebles y verificar

que las mismas estén correctas. Si se llegara a presentar alguna inconsistencia se subsana

comunicándose con la empresa prestadora del servicio.

3.3.2.2 Generar de forma manual la Orden de Pago de cada factura.

3.3.2.3 Firmar la Orden de Pago en señal de elaborado y presentarla para su revisión y aprobación al

Aprobador y Ordenador del Gasto.

3.3.2.4 Registrar en el libro control de órdenes de pago de la Secretaria General, cada una de las órdenes de

pago que se entregan al Grupo de Presupuesto de la Vicepresidencia Financiera.

Continuar con las actividades de los procedimientos de Registro presupuestal de Obligaciones, Análisis contable

de causaciones y cuentas por pagar y Giro.




Código:


Versión: 1

Fecha: 30/05/13

Página: 93 de 123

8.3 ANEXOS DE PROCEDIMIENTOS

8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO

Director de Continuidad o Director de Continuidad Alterno

1. Activa la contingencia a sitio alterno.

Jefe de Riesgos

2. Activa la cascada telefónica y comunica el evento de incidente mayor al Vicepresidente,

Director o Jefe de cada área, quien a su vez informa al colaborador de siguiente jerarquía

de su área acerca del incidente ocurrido y las instrucciones de activación de la

contingencia de lugar.

Secretaria General (Líder Administración Recuperación Infraestructura Física)

3. La Secretaria General con apoyo del Comité SARO-SARLAFT, contacta a los proveedores

de las alternativas seleccionadas, definen el sitio alterno en el cual se mantendrá la

operación de la Entidad en momento de contingencia.

4. Acuerda con el proveedor la utilización de sus instalaciones por el período de tiempo que

dure la contingencia, según las necesidades del Icetex descritas por el Coordinador de

Negocio y el Comité SARO-SARLAFT en ese momento.

5. Coordina el traslado del personal al centro de operaciones establecido para operar en

contingencia.

Coordinadores de recuperación del negocio

6. Convoca al personal identificado como personal crítico (equipo de recuperación), e informa

el incidente ocurrido, solicitando el desplazamiento al “Lugar alterno de trabajo”. El equipo

de recuperación se encuentra detallado en el documento “Cascada Telefónica”, que posee

el Líder de PCN de cada área.

Código:


Versión: 1

Fecha: 30/05/13

Página: 94 de 123

7. Una vez instalados en el centro de operaciones alterno, realiza un chequeo del personal

mínimo que se encuentra en el sitio, en caso de ser necesario llamará al personal suplente

requerido.

8. Solicita el kit de contingencia (recursos de escritorio) y al personal crítico que inicie la

conectividad a los programas requeridos.

9. Confirma al Director de Continuidad Alterno o su suplente la correcta continuidad de los

procesos.

Secretaria General (Líder Administración Recuperación Infraestructura Física)

10.Realiza una evaluación del sitio alterno, para validar que los recursos requeridos se

encuentren disponibles en el sitio.

Director de Continuidad o Director de Continuidad Alterno

11. Solicita a los diferentes Coordinadores de Recuperación un estado del evento y como ha

transcurrido la operación en contingencia, se debe de usar el formato de Activación y

Seguimiento de la Activación (detallado en el numeral 8.5.5).

12. El Comité SARO – SARLAFT analiza los resultados del estado de la contingencia y,

procede a decidir:

“NO” terminar la contingencia: Los equipos de recuperación deben seguir ejecutando

la operación en contingencia.

“SI” terminar la contingencia: Basado en la información suministrada por los

Coordinadores y el análisis realizado por los miembros del Comité, el Director de

Continuidad decide terminar la contingencia, da la orden de activar el proceso de

retorno, confirma la disponibilidad y funcionabilidad del sitio normal de trabajo y se

informa a los diferentes equipos la decisión.

Coordinadores de recuperación del negocio

13. Devuelve el “kit de contingencia” para su custodia nuevamente.

14. Comunicar al personal que participó en la contingencia, el “Retorno a la normalidad” y

coordina el desplazamiento al “Sitio base de trabajo”.

Código:


Versión: 1

Fecha: 30/05/13

Página: 95 de 123

8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS

OBJETIVOS

Definir un procedimiento para la atención de los incidentes o problemas presentados en los

sistemas o aplicativos que manejan las áreas usuarias.

Definir responsabilidades en cuanto a la declaración de contingencias por incidentes o

problemas presentados.

A continuación se detalla el procedimiento para el manejo de incidentes por problemas de

sistemas:

Colaborador del área

1. Detalla en forma precisa el evento o incidente que se presenta e informa al Líder de PCN

de la dependencia.

Líder PCN de área

2. Verifica si el mismo evento se le está presentando a otros colaboradores de la misma área

y si sus tareas afectan a otras dependencias, se debe validar con las mismas si el

problema es general.

3. Una vez tenga claridad sobre el evento que se está presentando y los colaboradores

involucrados, debe clasificarlo teniendo en cuenta las siguientes definiciones para

determinar si es un incidente o un problema:

Incidente: Afecta puntualmente a una persona o grupo de personas.

Problema: Afecta de manera general a todo el Icetex o a los clientes.

4. Ingresa en el aplicativo de reporte de incidencias del Instituto. Esto con el fin que la

Dirección de Tecnología pueda dejar reportado el evento en el Control de Incidentes.

5. Envía al correo electrónico al Jefe de Riesgos y Coordinador de Infraestructura de la

Dirección de Tecnología e informa el incidente de PCN.

Coordinador de Infraestructura – Dirección de Tecnología

Código:


Versión: 1

Fecha: 30/05/13

Página: 96 de 123

6. Define la solución al incidente (tiempo y estrategia de recuperación) y da respuesta sobre

la gravedad del evento y tiempo de recuperación. Si el daño es importante, el Director de

Tecnología decide la activación del plan de contingencia de tecnología afectado (servidores

backup, sistemas de recuperación de información, enlaces de comunicación), e informa al

Director de Continuidad Alterno (Jefe de Riesgos).

Director de Continuidad Alterno (Jefe de Riesgos)

7. Informa la situación al Líder de PCN del área afectada.

8. Si el tiempo de recuperación es menor al Tiempo Objetivo de Recuperación (RTO) del

proceso afectado deberá esperar, de lo contrario declara la contingencia manual (cuando

se cuente con ésta), mientras se soluciona definitivamente el incidente o problema

presentado.

Líder de PCN área afectada

9. Desarrolla la estrategia manual (Ver anexo 8.2, que contiene las contingencias manuales

estimadas).

Coordinador de Infraestructura – Dirección de Tecnología

10. Una vez solucionado el incidente o problema por parte de la Dirección de Tecnología,

informa al Director de Continuidad Alterno (Jefe de Riesgos) y al Líder PCN del área

afectada para que se levante la contingencia.

Director de Continuidad Alterno (Jefe de Riesgos)

11. Solicita levantar la contingencia del incidente presentado y retorno a la normalidad.

Líder PCN de área

12. Asegura el retorno a la normalidad de las operaciones de acuerdo con el numeral de

“Retorno a la normalidad” de la estrategia manual establecida, ejecuta las acciones que

permitan que los clientes no se vean afectados en los procesos del área, así como los

reportes a entes reguladores.

Código:


Versión: 1

Fecha: 30/05/13

Página: 97 de 123

13. Una vez se haya solucionado el incidente, diligencia el formato “Reporte de incidente PCN”

(ver numeral 8.5.2), lo entrega al Jefe de la Oficina de Riesgos, con copia al Líder del

Proceso responsable del área afectada.

Código:


Versión: 1

Fecha: 30/05/13

Página: 98 de 123

8.4 ANEXOS DE TABLAS

8.4.1 TIPOS DE AMENAZA

NATURALES INSTALACIONES SOCIAL TECNOLOGICAS OPERACIONALES

Inundaciones Fuego Huelgas Virus Crisis financiera

Desastre natural Explosión Epidemias Hacking Pérdida de suplidores

Tornados Caída e energía Materiales peligrosos Pérdida de datos Fallas en equipos

Huracanes Daño de agua Problemas de transporte Fallas de hardware Aspectos regulatorios

Sismos Pérdida de acceso Pérdida de personal clave Fallas de software Mala publicidad

Tormentas Falla mecánica Motines Fallas en la red

Incendios Protestas Fallas en las líneas

telefónicas

Sabotaje

Vandalismo

Bombas

Violencia laboral

Terrorismo

Código:


Versión: 1

Fecha: 30/05/13

Página: 99 de 123

8.4.2 TIPOS DE VULNERABILIDADES

FACTOR VULNERABILIDAD FACTOR VULNERABILIDAD

Falta de administración del conocimiento Carencia de planes de emergencia y administración de crisis

Carencia de capacitación y entrenamiento Exposición a incendios e inundaciones

Insuficiencia capacidad de personas Fallas de potencia electrica

Inadecuada preparación ante desastres Construcción inadecuada de edificios y centros de cómputo

Falta de seguridad laboral y salud ocupacional Falta de controles medio ambientales

Falta de pertenencia a la entidad y cultura en continuidad Ubicación del edificio

Falta de segregación de funciones Fallas en construcción de edificaciones bajo normas de sismo

resistencia y control de impactos de afectación física.

Falla en la administración de proveedores de servicios profesioales Carencia de control de accesos en áreas críticas restringidas.

Falta de políticas de comunicación formal Carencia de definición de planes de atención y evacuación

ante conatos de incendio, amenazas de terrorismo,

terremoto, o situaciones similares que ponen en riesgo las

vidas humanas

Falta de políticas de retención de personal Controles predictivos, preventivos o correctivos de fallas

relacionadas con aire acondicionado, suministro de energía y

potencia eléctrica requerida por equipos electrónicos o

mecánicos.

Otros Control proactivo de suministro de elementos críticos como

agua, indispensables para mantener condiciones higiénicas

dentro de las edificaciones, además de equipos de control

de temperatura y ambiente.

Otros

Carencia de procesos de administración de servicios de IT de

información

Falta de administración

Falta de estrategias de disponibilidad Falta de controles medioambientales

Inadecuadas estrategias de recuperación Falta de procedimientos alternos

Falta de acuerdos de servicio conproveedores Dependencia entre procesos

Puntos únicos de falla en la infraestructura de IT Falla en la gestión de calidad (disciplina de registro,

comunicación, documentación, integración, evaluación)

Alta dependencia de proveedores Limitaciones de capacidad

Inadecuado control, gestión y mantenimiento de servidores, bases

de datos, redes, almacenamiento, aplicaciones y sistemas de

información, información, archivos u operación de usuarios.

Falta de definición de acuerdos de nivel de servicio

Falta o inadecuados procesos definidos e implementados para el

soporte del servicio /administración de incidentes, administración

de cambios, administración de configuración, administración de

Dependencia y falta de control de proveedores

Falta o inadecuados procesos definidos e implementados para la

entrega del servicio (administración de capacidad y desempeño,

administración de continuidad de tecnología, administración de

acuerdos de niveles de servicios).

Falla en suministrar claridad en roles y responsabilidades

relacionadas con las operaciones críticas

Falla en el Inventario (stock) de componentes o partes críticas. Falta o fallas en acuerdos de servicios medibles y confiables

con proveedores

Ausencia de sitios alternos de procesamiento. Falta o fallas enla medición de tiempos y cantidad de

recursos críticos

Inadecuada capacidad de enlaces de trasmisión y redundancia. No se cuenta con jormadas de evacuación del edificio

Falta de pruebas de recuperación y retorno, restauración de cintas

de respaldo.

Falta de respaldos de datos (tipo, frecuencia, SW, política de

respaldo de datos, rotulado y rotación de cintas, ubicación de

cintotecas.

Falta o falla de centros de custodias (distancia, frecuencia de

recolección, convenios).

Falla en Requerimiento a proveedores (contingencias, sitios

alternos).

Otros

INFR

AES

TRU

CTU

RA

FIS

ICA

PER

SON

AS

INFR

AES

TRU

CTU

RA

TEC

NO

LOG

ICA

PR

OC

ESO

S

Código:


Versión: 1

Fecha: 30/05/13

Página: 100 de 123

8.4.3 CRITERIOS DE FRECUENCIA

FRECUENCIA DEFINICION CASOS /AÑO VALOR

MUY BAJA Baja probabilidad de ocurrencia; ha sucedido o se

espera que suceda menos de una vez en 20 años

Entre 0.00 y 0.05 1

BAJA Limitada probabilidad de ocurrencia; sucede en forma

esporádica, una vez entre los 5 y los 20 años.

Entre 0.05 y 0.2 2

MODERADA Mediana probabilidad de ocurrencia; sucede algunas

veces, una vez entre 1 y los 5 años.

Entre 0.2 y 1.0 3

ALTA Significativa probabilidad de ocurrencia; sucede en

forma reiterada, entre 1 vez y 10 veces al año

Entre 1.0 y 10 4

MUY ALTA Alta probabilidad de ocurrencia; ocurre en forma

seguida, mas de 10 veces al año.

Más de 10 5

Código:


Versión: 1

Fecha: 30/05/13

Página: 101 de 123

8.4.4 CRITERIOS DE IMPACTO

VL.

ASOCIA

DO

CALIFICACION FINANCIERO PROCESO REPUTACIONAL LEGAL SERVICIO AL CLIENTE IMPACTO HUMANOINFRAESTRUCT

URA FISICA

1

Insignificante Durante una interrupción de las

operaciones normales cuya

duración es mayor a 7 días, el

Instituto podría perder una

ganancia o dejaría de percibir

ingresos a través de préstamos o

productos que superan más de

$170,000,000.

Suspende la

operación o genera

reprocesos de hasta

1 hora.

al interior del

proceso.

Durante una interrupción de las operaciones

normales del procedimiento mayor a 7 días, las

sanciones por el incumplimiento podrían superar

los $170,000,000 y/o el periodo de tiempo dentro

del cual el resultado de incumplimiento daría

lugar a Penalizaciones, sanciones, multas y/o

Investigación contra del Instituto es mayor a 7

días.

El tiempo máximo en que el procedimiento

debe ser recuperado sin causar un impacto

significativo al Instituto o al Servicio al

Cliente Externo es mayor a 7 días o el

número de clientes externos afectados

diariamente es igual o menor a 50.

No se presenta

problemas de

seguridad y salud

para los empleados

No afecta las

instalaciones

físicas

2

Menor Durante una interrupción de las


duración es mayor a 48 horas

hasta 7 días, el Instituto podría

perder una ganancia o dejaría de

percibir ingresos a través de

préstamos o productos que

superan más de $170,000,000.

Suspende la

operación o genera

reprocesos mayor a

1 horas hasta 4

horas.

A nivel de la

entidad y

conocimiento

limitado de

clientes.


normales del procedimiento mayor a 48 horas

hasta 7 días, las sanciones por el incumplimiento

podrían superar los $170,000,000 y/o el periodo

de tiempo dentro del cual el resultado de

incumplimiento daría lugar a Penalizaciones,

sanciones, multas y/o Investigación contra del

Instituto es mayor a 48 horas hasta 7 días.




Cliente Externo mayores a 48 horas hasta 7

días o el número de clientes externos

afectados diariamente es mayor a 50 hasta

500.

Potencial por herida

leve

Acceso

restringido a las

instalaciones

físicas (80%)

3

Moderado Durante una interrupción de las


duración es mayor a 24 horas

hasta 48 horas, el Instituto podría

perder una ganancia o dejaría de

percibir ingresos a través de

préstamos o productos que

superan más de $170,000,000.

Suspende la

operación o genera

reprocesos mayores

a 4 horas y hasta 1

dia.

El problema es

de

conocimiento

de un número

considerado de

clientes.



hasta 48 horas, las sanciones por el

incumplimiento podrían superar los $170,000,000

y/o el periodo de tiempo dentro del cual el

resultado de incumplimiento daría lugar a

Penalizaciones, sanciones, multas y/o


horas hasta 48 horas.





horas o el número de clientes externos

afectados diariamente es mayor a 500 hasta

1000.

Herida que requiere

tratamiento de

hospital a más de un

miembro del

personal.

Reducción del

personal a nivel

local.

Acceso

restringido a las

instalaciones

físicas (60%)

4

Importante Durante una interrupción de las


duración es mayor a 4 horas hasta

24 horas, el Instituto podría perder

una ganancia o dejaría de percibir



$170,000,000.

Suspende la

operación o genera

reprocesos mayores

a un día hasta 2 días.

A nivel sectorial

/ Entes de

control.














horas o el número de clientes externos

afectados diariamente es mayor a 1000

hasta 5000.

Heridas

significativas.muert

e potencial.

Reducción

significativa de

personal.

Imposibilidad

de acceso a

instalaciones

físicas

5

Masivo Durante una interrupción de las

operaciones normales entre 0 y 4

horas, el Instituto podría perder

una ganancia o dejaría de percibir



$170,000,000.

Suspende la

operación o genera

reprocesos mayores

a 2 días.

Medios de

comunicación.













Cliente Externo es de 0 a 4 horas o el

número de clientes externos afectados

diariamente es mayor a 5000.

Muertes y/o

afectación total

sobre las vidas del

personal. Reducción

amplia del personal.

Destrucción

total de

instalaciones

físicas

NOTA: Contiene las variables de impacto aplicadas en el Análisis de Impacto del Negocio: Financiero, Proceso, Reputacional, Legal y de Servicio al Cliente

Las variables de impacto de: Proceso y Reputacional, son las mismas que se definieron para la Administración del Riesgo Operativo - SARO

Las variables de : Impacto humano e Infraestructura física deben ser contempladas por el tema de continuidad

El valor asociado y la calificación son las mismas utilizadas para la administración del riesgo operativo - SARO, iniciando desde la calificación 1.

CRITERIO DE IMPACTO RIESGO PLAN DE CONTINUIDAD DEL NEGOCIO

Código:


Versión: 1

Fecha: 30/05/13

Página: 102 de 123

8.5 ANEXOS FORMATOS

8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA

Fecha:

Nombre Dependencia Nombre Area

Gerente Dependencia Jefe Area

Cargo Cargo

Calificación BIATiempo Objetivo de

Recuperación (RTO)Valor del BIA

Procedimiento 1

Procedimiento 2

Procedimiento 3

Procedimiento 4

Procedimiento 5

Procedimiento 6

Procedimiento 7

Procedimiento 8

Procedimiento 9

Procedimiento 10

Líder PCN OBSERVACIONES

Cargo Líder PCN

ANALISIS DE IMPACTO DEL NEGOCIO ( BIA)

Procedimiento No.

Valoración del BIA

Nombre del Procedimiento

Ir a Parámetros ir a CuestionarioIr a Sección

Requerimientos Ir a Instrucciones

Cuestionario

Código:


Versión: 1

Fecha: 30/05/13

Página: 103 de 123

Cuestionario BIA

Regulatorio/Legal

1

2

3El Instituto podría perder una ganancia de

más de $170,000,000.

4

El Instituto dejaría de percibir ingresos, a

través de préstamos o productos que

superan los $170,000,000.

5

6

7

8

9

10

Nombre del procedimiento (Llenado Autmático)

Imp

acto

s p

ara

ser

anal

izad

os

po

r el

Áre

a d

e N

ego

cio

/Ap

oyo

Clasificación Final Derivada BIA

Evalue el efecto del impacto reputacional en cuanto a las opiniones de los

clientes, sectores educativo y financiero y/o el publico en general.

Co

mp

rueb

e D

epen

den

cia

-

Par

a se

r ll

enad

o p

or

PC

N

¿Este procedimiento proporciona información crítica para cualquier otro

procedimiento (Por favor, indique "Sí" o "No")

El procedimiento tiene proveedores críticos.

Durante una interrupción de las

operaciones normales del

procedimiento, describir el

período en el que:

Describa el periodo de tiempo dentro del cual el resultado de incumplimiento

daría lugar a Penalizaciones, sanciones, multas y/o Investigación contra del

Instituto.

Por favor indique el nombre del procedimiento si la respuesta anterior es Sí

Servicio a Cliente Externo

¿Cuál sería el impacto en otros procedimientos o áreas?

Describa la importancia de las actividades de sus proveedores externos en

sus procedimientos.

Reputacional

Proveedores Críticos

¿Cuál es el tiempo máximo en que el procedimiento debe ser recuperado sin

causar un impacto significativo al Instituto o al Servicio al Cliente Externo?

Proveedores

Tiempo Objetivo de Recuperación (RTO)

Valor del BIA

Proporcione la calificación BIA de acuerdo al procedimiento mencionado

anteriormente. (Arriba)

Describa el tiempo máximo tolerable que está dispuesto a perder de información de

su procedimiento ante una interrupción en los sistemas de información.

Durante una interrupción de las operaciones normales del procedimiento,

describa el plazo en el cual las sanciones por el incumplimiento podría

superar los $170,000,000.

Financiero

Número de clientes externos afectados diariamente

Procedimientos

Código:


Versión: 1

Fecha: 30/05/13

Página: 104 de 123

Nombre del

Procedimiento

Número de funcionarios

tiempo completo para

ejecutar el procedimiento

Número de funcionarios

necesarios durante la

recuperación

Aplicación Critica - 1





Teléfono Interior

Impresora

Scanner

Nombre del Procedimiento

Dependencia del Proveedor Critico?

Nombre del Proveedor Critico - 1 (si lo hay)






Nombre del Proveedor NO Critico - 1 (si lo hay)

Código:


Versión: 1

Fecha: 30/05/13

Página: 105 de 123

Calificación

BIA

Tiempo

Objetivo de

Recuperación

(RTO)

Valor del BIA

Procedimiento 1

Procedimiento 2

Procedimiento 3

Procedimiento 4

Procedimiento 5

Procedimiento 6

Procedimiento 7

Procedimiento 8

Procedimiento 9

Procedimiento 10

Firmas

Detalles

Jefe Área

Líder BCP

Firma

Resultados del Análisis de Impacto de Negocio (BIA)

<<AREA>>

FECHA

La información contenida en este documento es exclusivamente de <<AREA>>. Para llegar al nivel adecuado de

preparación de la continuidad, la <<AREA>> ha respondido al Analisis de Impacto del Negocio e información para

justificar el apoyo en cada una de las respuestas seleccionadas en el cuestionario BIA, así como la información de la

Tecnología " Requisitos durante el desastre y la información sobre "Proveedores Críticos" de los procedimientos. Esta

información será utilizada en toda la documentación de continuidad del negocio en el futuro.

El área analizada <<No.>> procedimientos, se obtuvieron los siguientes resultados:

Procedimiento

No.Nombre del Procedimiento

Valoración del BIA

El resultado obtenido para cada uno de los procedimientos determina lo siguiente:

* Calificación BIA: Indica la sensibilidad de tiempo entre los niveles Misión Crítica a insignificante. Esto se deriva a

través de la realización del cuestionario BIA.

• Periodo máximo tolerable de interrupción: El período de tiempo después de una interrupción, en el que el

Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto

significativo.

• Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento

de prioridades de recuperación durante una situación difícil.

Conclusiones

El BIA constituye un aporte fundamental para obtener la Estrategia para la Continuidad del Negocio. En función de la

criticidad, una amplia gama de estrategias de Continuidad de Negocios se pueden implementar. Estas estrategias

serán acordadas entre las Áreas de Negocio/Apoyo y el equipo de Plan de Continuidad de Negocio (PCN).

De acuerdo con lo anterior, los procedimientos que se priorizan en la primera fase de revisión de las disposiciones del

Plan de Continuidad de Negocios (PCN), serán los valores que aparecen en el BIA con valor <<Misión Critica>> y

<<Masivo>> en el cuadro anterior.

Nombre

Código:


Versión: 1

Fecha: 30/05/13

Página: 106 de 123

8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA

REPORTE DE INCIDENTES DE CONTINGENCIA

Información de Identificación

Fecha del incidente Hora de ocurrencia

Duración del incidente Proceso afectado

Nombre del área Lugar donde se presentó el incidente

Descripción del Riesgo

Descripción del Incidente (Problema ocasionado)

Causas del Incidente

Medidas contingentes adoptadas

Acción Participantes

Nombre Cargo

Efectos en el Funcionamiento del Icetex

Retorno a la Operación normal

Lecciones aprendidas

Elaborado por: Revisado por:

Nombre Nombre

Firma Firma

Código:


Versión: 1

Fecha: 30/05/13

Página: 107 de 123

8.5.3 CASCADA TELEFONICA

CONTACTOS PERSONAL DEL AREAAREA: DEPENDENCIA: FECHA ACTUALIZACION:

Rol Nombre CargoTel

Interno

Correo

ElectrónicoCelular Casa

CONTACTO

PRINCIPAL

EQUIPO

RECUPERACIONBRIGADISTA

PERSONAL

CRITICO( R eenviados a

un sit io alt erno

de cont ingencia

de cort o

t iempo)

Contacto de

Emergencia

Primario para

todas las áreas

de negocio

Contacto de

Departamento

Primario

Cascada Nivel 1

Cascada Nivel 2 -

Contactarán a los

Coordinadores

de su área

Cascada Nivel 3 -

Contactarán al

personal de sus

propios grupo de

cascada.

Personal

Personal

Personal

Personal

Personal

CASCADA TELEFONICA PCN

PROCEDIMIENTO NOMBRES TELEFONO CASA TELEFONO CELULAR

LISTA DE PERSONAL MINIMO POR PROCEDIMIENTO

No. PERSONAS

Código:


Versión: 1

Fecha: 30/05/13

Página: 108 de 123

AREA FECHA ACTUALIZACION

Proveedor

Descripción Proveedor

Dirección

Procedimiento

Contacto Principal Contacto Alterno

Teléfono Oficina Teléfono Oficina

Teléfono Movil Teléfono Movil

Correo Correo

Proveedor


Dirección

Procedimiento




Correo Correo

Proveedor


Dirección

Procedimiento




Correo Correo

LISTA DE CONTACTOS EXTERNOS

Código:


Versión: 1

Fecha: 30/05/13

Página: 109 de 123

8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS

Proceso/Producto/Servicio

Duración Estimada

Duración Real

Lugar de Ejecución

Comité de crisis lideres de operaciónEvaluadoresObservadores

5

MÉTODO A USAR EN LA EJECUCIÓN DE LA PRUEBA

Se describe de manera general el procedimiento a llevar a cabo para el eficaz desarrollo de la prueba. (Orden del día)

Ejecutores

ESCENARIO DE INTERRUPCIÓN

3

4 Describir los productos (output) que se esperan obtener al finalizar la ejecución de la prueba.

RESULTADOS ESPERADOS

Describir las circunstancias y/o los eventos de interrupción a considerar durante el desarrollo de la prueba con el fin de ambientar la situación bajo la cual el plan de contingencia podría ser activado para

el proceso objeto de la prueba.

2

Tipo de prueba

Código de Referencia de la prueba

1

OBJETIVOS ESPECÍFICOS (Enunciar las acciones y/o actividades a desarrollar para lograr el objetivo general de la prueba)

ALCANCE

Establecer los elementos que hacen parte del proceso o servicio objeto de la prueba.

OBJETIVO GENERAL (Definir claramente lo que se quiere lograr con el desarrollo de la prueba)

Procedimientos involucrados

CO

NT

RO

L D

E P

RU

EB

AS

OBJETIVOS

Fecha Programada (dd/mm/aa)

Fecha de Ejecución (dd/mm/aa)

Riesgos

ResponsableRiesgo y/o Dificultades Impacto Acción

Identificar y describir los riesgos asociados a la ejecución de la prueba. En la identificación se deben tener en cuenta aspectos como: la afectación del servicio, la imagen, las capacidades técnicas,

entre otros.

6

Integrantes de las Pruebas (Nombres)

7

GUIÓN DE PRUEBA

Plan de pruebas del BCP de KPMG ABCDABCD

ESCRITORIO

Responsables

Completamente

satisfactorio

Completamente

satisfactorio

Código:


Versión: 1

Fecha: 30/05/13

Página: 110 de 123

días

16/07/2010 8

ABCD

Responsables

Plan de pruebas del plan de Continuidad de Negocio

Paso a Paso de la PLANEACIÓN

Recursos mínimos necesarios

5

2.

Observaciones de la Fase de Planeación de la Prueba

´1.

TiempoÍtem Descripción de la Actividad

1

Fecha y/o hora

inicio

Estimada / Real

Fecha y/o hora

finalización

Estimada / Real

3.

ABCD

Fecha finalización y tiempo estimado

2

3

4

6

minutos

ABCD

Días / Horas / Minutos

ABCD

Paso a Paso de la EJECUCIÓN

Observaciones de la Fase de Ejecución de la Prueba

1.

2.

Plan de pruebas del plan de continuidad de negocio


3

2

1

TiempoÍtem Descripción de la Actividad

Fecha y/o hora

finalización Responsables Recursos mínimos

Fecha y/o hora

inicio

Código:


Versión: 1

Fecha: 30/05/13

Página: 111 de 123

ABCD

0

ABCD

n

Plan de pruebas del plan de continuidad de negocio

Observaciones de la Fase de Retorno a la Operación Normal

1.

2.

Fecha y/o hora

finalización Tiempo

Días / Horas / Minutos

Ítem Descripción de la Actividad Responsables Recursos mínimos

Fecha y/o hora

inicio

1 No aplica (N/A)

Paso a Paso del RETORNO


3

2

Código:


Versión: 1

Fecha: 30/05/13

Página: 112 de 123

dd mm aa

Lugar de la prueba

Cargo

Comentarios y/o Recomendaciones

¿Identificó oportunidades de mejora en cuanto al tiempo empleado en la ejecución de la prueba? Sí

No

Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la administración del tiempo durante la ejecución de la prueba.

La duración de la prueba fue: (Marque con una X)

En la realización de las pruebas son muy importantes sus comentarios y recomendaciones. Estos ayudan a mejorar y actualizar el programa de continuidad de negocio. Por

favor escoja la respuesta adecuada y suministre cualquier comentario adicional.

Excesivamente larga Por debajo del tiempo estimado Adecuada

Excesivamente corta Sobrepasó el tiempo estimado

1

Evaluador

FIRMA

ABCD

ENCUESTA DE SATISFACCIÓN

Info

rmació

n g

en

era

l

Proceso/Producto/Servicio

Evaluación

Plan de pruebas del plan de Continuidad de NegocioABCD

Tipo de Integrante(Señale con una X)

Ejecutor Escritorio

Por componentes

Integrada

Planeación

Prueba No.

Fase en la que participó

Tipo de Prueba(Señale con una X)

Ejecución

Retorno

Fecha

Duración de la prueba

Observador

Nombres y Apellidos Institución

Código:


Versión: 1

Fecha: 30/05/13

Página: 113 de 123

¿Identificó oportunidades de mejora en cuanto al escenario definido para el desarrollo de la prueba y en cuanto a los recursos mínimos

utilizados en la misma?

Sí

No

Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer y mejorar el escenario definido para el desarrollo y los recursos

mínimos utilizados en el desarrollo de la misma.



3

2

¿Cómo fueron las instrucciones que recibió para ejecutar la prueba? (Marque con una X)

Muy básicas Apropiadas y fáciles de entender Adecuadas

Muy complejas Inapropiadas e insuficientes

Identificó oportunidades de mejora en cuanto a la forma como fueron comunicadas las instrucciones para participar en la prueba? Sí

No

Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la definición de las instrucciones y la forma como deben ser

comunicadas a los participantes.

¿Fue suficientemente realista la prueba para validar la efectividad del plan y/o procedimientos contingentes? (Marque con una X)

Completamente en desacuerdo De acuerdo

Completamente deacuerdo En desacuerdo

Código:


Versión: 1

Fecha: 30/05/13

Página: 114 de 123

4

¿Cuántos problemas y/o debilidades y/o aspectos por mejorar identificó durante el desarrollo de la prueba? (Marque con una X)

De 1 a 2 De 5 a 6 Ninguno

De 3 a 4 Más de 6

Por favor mencione los problemas y/o debilidades y/o aspectos por mejorar que identificó:

Comentarios y/o observaciones

Si identificó problemas y/o debilidades y/o aspectos por mejorar por favor enuncie algunas recomendaciones para fortalecer dichos aspectos.

No

6

¿Que tan efectiva fue la prueba? (Marque con una X)

Poco efectiva Medianamente efectiva Muy Efectiva

Satisfactoria Efectiva

Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.

5

¿Se alcanzaron los objetivos de la prueba? (Marque con una X)

Sí No Parcialmente Sin información

Si su respuesta anterior fue No o Parcialmente , por favor describa las razones por las cuales ud. cree que no se alcanzaron satisfactoriamente los objetivos trazados para esta prueba.



Identificó oportunidades de mejora en cuanto a la efectividad de la prueba? Sí

Código:


Versión: 1

Fecha: 30/05/13

Página: 115 de 123

7

Califique la efectividad de los procedimientos (Paso a Paso) establecidos en cada una de las etapas para llevar a cabo la prueba (Marque

con una X)

Poco efectivos Poco Efectivos Poco

Efectivos

Medianamente Medianamente

Efectivos Efectivos Efectivos

Satisfactorios Satisfactorios

Satisfactorios

Efectivos Efectivos Efectivos

Sí

No

Si su respuesta anterior fue Sí, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.

8

¿Cúal es su calificación general del desarrollo de la prueba respecto a los resultados obtenidos? (Marque con una X)

Completamente satisfactorio Adecuado Insatisfactorio


Fase de planeación Fase de Ejecución Fase de Retorno


¿Identificó oportunidades de mejora en cuanto a la efectividad de los procedimientos (Paso a Paso) definidos para llevar a cabo la

prueba?

Código:


Versión: 1

Fecha: 30/05/13

Página: 116 de 123

8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION

FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN

Activación Hora DD/MM/AA

Retorno Hora DD/MM/AA

Finalización Hora DD/MM/AA

Activación de los planes de:

COMUNICACIÓN DE LA ACTIVACIÓN DEL PLAN

Cargo Informado No

informado Secretaria General Informado

No

informado

El Presidente del

Icetex

Secretaria General

Vicepresidente

Financiero

Vicepresidente de Crédito

y Cobranza

Vicepresidente de

Fondos en

Administración

Director de Tecnología

Jefe de la Oficina

Jurídica

Oficial de Cumplimiento

Jefe Oficina de

Riesgos

Jefe de la Oficina de

Control Interno

Jefe Oficina de

Comunicaciones

FORMATO DE ACTIVACIÓN Y SEGUIMIENTO DE LA ACTIVACIÓN

Observación (describa la hora vs las actividades y/o decisiones tomadas

Hora Actividad

Código:


Versión: 1

Fecha: 30/05/13

Página: 117 de 123

8.6 ANEXOS RESULTADOS

8.6.1 EQUIPO DE TRABAJO DEL PCN

Dependencia Area Líder PCN Líder Proceso

Vicepresidencia de Crédito y Cobranza Natalia Caycedo Edith Cecilia Urrego Herrera

Grupo de Crédito María Victoria Camargo

Grupo de Cartera Ofrey Marin Saenz

Vicepresidencia de Fondos en

AdministraciónDiana Patricia Olaya Campo Elias Vaca Peril la

Oficina de Relaciones Internacionales Diana Carolina Gómez William Barreto

Oficina Comercial y Mercadeo Luyfer Osorio Andres Felipe Murillo

Vicepresidencia Financiera Grupo de Presupuesto Jorge Nelson Gaitan LeonWilson Eduardo Pineda

Jorge Nelson Gaitan Leon

Dirección de Contabilidad Jorge Enrique Molina Ramírez Wilson Eduardo Pineda

Dirección de TesoreríaCatalina Peña

José Gómez

Wilson Eduardo Pineda

Ana Cecilia Arboleda Marín

Oficina Asesora Jurídica Ricardo Cortés Pardo Campo Elias Vaca Peril la

Dirección de Tecnología Victor Raul Bautista Galindo Francisco Pulido Fajardo

Oficina Asesora de Comunicaciones Andres Mauricio Rivera Sánchez Amanda Ramírez

Secretaria General Coordinadora Grupo de Contratos Ingrid Marcela Garavito María Eugenia Méndez Munar

Coordinadora Grupo Correspondencia Luz Marielly Morales

Coordinador Grupo de Archivo Gerardo Alonso Rodríguez Pineda

Coordinadora Grupo Talento Humano Miryam Cardona Giraldo

Coordinador Grupo Recursos Físicos Gloria Nancy Méndez Ibañez

Oficina de Riesgos Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez

Oficial de Cumplimiento Claudia Stella Cortés Albornoz Jaime Eduardo Galvez Marquez

Oficina Asesora de Planeación Edgar Fabio Díaz Ramírez Rodrígo Fernando Acosta Trujil lo

Oficina de Control Interno Carlos Eduardo Cruz Luz Alba Sánchez Sánchez

Código:


Versión: 1

Fecha: 30/05/13

Página: 118 de 123

8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA

Se adelantó la Evaluación BIA, aplicando la metodología establecida en el Icetex, se llevó a cabo con la participación de la Oficina de Riesgos, los Líderes de PCN y de Proceso. Este análisis contiene:

PROCESOS Y PROCEDIMIENTOS ANALIZADOS

El Grupo de Trabajo de PCN analizó la totalidad de los procesos con los que cuenta la Entidad, revisando 134 procedimientos. Tal evaluación fue validada y aprobada por los Lideres del Proceso y en constancia firmaron el Acta resumen correspondiente. Estos procedimientos fueron calificados como se ilustra en el siguiente cuadro, los cuales están agrupados por tipo de proceso:

Los resultados indican que los procedimientos calificados en: Nivel 1AAA, Nivel 1AA, Nivel 1ª y Nivel 2, cuyo tiempo objetivo de recuperación (RTO) oscila entre 4 y 48 horas son considerados como críticos – prioritarios para la Entidad, suman 32 procedimientos y es de vital importancia establecer la estrategia de continuidad para cada uno de estos procedimientos. Los restantes 102 procedimientos fueron calificados entre los niveles 3 al 6, lo que indica que permiten un tiempo mayor de recuperación. Los procedimientos calificados como críticos son:

TIPO PROCESO

NO. PROCESOS

Nivel 1AAA

4 horas

Misión Crítica

Nivel 1AA

8 horas

Misión Crítica

Nivel 1A

24 horas

Masivo

Nivel 2

48 horas

Masivo

Nivel 3

7 días

Medio

Nivel 4

14 días

Medio

Nivel 5

30 días

Bajo

Nivel 6

>30 días

Insignificante

MISIONAL 14 38 1 1 4 14 7 7 4

APOYO 19 68 1 11 9 17 10 11 9

ESTRATEGICOS 7 24 2 2 8 6 6

EVALUACION 1 4 1 2 1

TOTAL 41 134 1 1 15 15 31 25 26 20

NIVEL DE CALIFICACION BIA POR PROCEDIMIENTO

VALOR BIA:

RTO:

CALIFICACION BIA:

Código:


Versión: 1

Fecha: 30/05/13

Página: 119 de 123

TIEMPO OBJETIVO DE RECUPERACION – PROCEDIMIENTOS PRIORITARIOS PARA LA ENTIDAD

A continuación se detalla los procedimientos críticos y sus necesidades de recursos, de acuerdo con la calificación BIA obtenida:

NIVEL 1ª MASIVOS – TIEMPO DE RECUPERACION MENOR A 24 HORAS

A continuación se detallan los procedimientos críticos que requieren de un tiempo de recuperación menor a 24 horas y los recursos que se necesitan para operar:

N - 1AAA

4 horas

Misión crítica

Atención al cliente Otorgamiento de becas colombianos en el exterior

N - 1AA

8 horas

Misión crítica

Cumplimiento de operaciones de inversiónOtorgamiento de becas posgrados para extranjeros en

Colombia

Gestión de legalización y renovación para

aprobación del desembolsoCierre de cartera

Actualización de contenidos en la página WebFacturación época de estudios, período de gracia y

amortización

Custodia de Garantías Base de datos

Suscripción y legalización de contrato, convenio,

ordenes de servicio y/o compraSoporte a Infraestructura

Gestión de correspondencia externa Atención acciones de tutela

Registro presupuestal de compromisos Consulta de archivo

Registro presupuestal de obligaciones Apoyo logístico

Causaciones y cuentas por pagar Liquidación de nómina

Generación de información exógena, elaboración y

transmisión de informaciónExpedición del certificado de disponibilidad presupuestal

Presentación y pago de impuestos Análisis contable con sus contrapartidas críticas

Giro Cierre contable mensual

Servicio a la deuda Aplicación del modelo de referencia de cartera comercial

Gestión de incidentes de seguridad Medición, transmisión y seguimiento del VaR

Gestión de vulnerabilidades

Requerimientos Entes de Control

NIVEL PROCEDIMIENTO

Nivel 2

48 horas

Masivo

NIVEL 1A

24 horas

Masivo

NIVEL PROCEDIMIENTO

Código:


Versión: 1

Fecha: 30/05/13

Página: 120 de 123

NIVEL 2 – MASIVOS – TIEMPO DE RECUPERACION 48 HORAS

Con esta calificación fueron evaluados quince (15) procedimientos, los cuales se detallan a continuación con los recursos necesarios para operar:

RECURSO

HUMANO

RECURSO

HUMANO

OUTSOURCING

COMPUTADOR TELEFONO IMPRESORA ESCANER

1Gestion de legalización y

aprobación del desembolso8 8 3 SI SI <=24 Horas

C&CETEX

Cobol

2Actualización de contenidos en

Página Web1 1 1 SI <= 24 horas

Internet

Office

Correo electrónico

3 Registro presupuestal de

compromisos2 1 1 SI <= 8 horas Apoteosys

4 Registro presupuestal de

obligaciones0 SI <= 24 horas Apoteosys

5Causaciones y cuentas por pagar 1 1 <= 24 horas Apoteosys

6Presentación y pago de impuestos 1 <= 24 horas Apoteosys

7 Generación de información

exógena, elaboración y

transmisión de información

1 <= 24 horas Apoteosys

8

Giro 2 1 1 SI SI <= 4 Horas

Apoteosys

Office

Internet

9

Servicio a la deuda 1 1 SI SI <= 4 HorasOffice

Internet

10 Gestion de correspondencia

externa2 1 1 SI SI <= 4 Horas Mercurio

11

Custodia de garantias 1 3 1 1 SI <= 8 horas

Mercurio

SGD V2.0 -MTI

Página Web

12 Suscripción y legalización de

contrato, convenio, ordenes de

servicio y/o compra

2 2 SI <= 4 HorasCorreo electrónico

Office

13Gestión de incidentes de seguridad 1 1 1 SI <= 24 horas

Correo

electrónico

14

Gestion de vulnerabilidades 1 1 SI <= 24 horas

Gestor de

Vulnerabilidades

MacAFFE

15

Requerimientos Entes de Control 2 2 1 SI SI <= 24 horas

C&CETEX

Apoteosys

Cobol

Total Requerimientos 26 3 21 10

PROCEDIMIENTONo.PRINCIPALES

APLICATIVOS

REQUERIDOS

BIENES MUEBLESRECURSO HUMANO

RPO

Código:


Versión: 1

Fecha: 30/05/13

Página: 121 de 123

RESUMEN DE INFRAESTRUCTURA REQUERIDA

Durante la actividad BIA se identifica la infraestructura requerida para el desarrollo de todos y cada uno de los procedimientos y especialmente los críticos, lo que permite enfocar los esfuerzos de prevención y recuperación sobre los elementos críticos de la infraestructura.

RECURSO

HUMANO

RECURSO

HUMANO

OUTSOURCING

COMPUTADOR TELEFONO IMPRESORA ESCANER

1Otorgamiento de becas

colombianos en el exterior2 2 1 SI <= 4 Horas

Bizagi

C&CETEX

Fox-Pro

2

Otorgamiento de becas

posgrados para extranjeros

en Colombia

1 1 1 > 30 días

Bizagi

Apoteosys

Correo electrónico

3 Cierre de cartera 1 2 1 <= 24 horas

C&CETEX

Apoteosys

Correo electrónico

4

Facturación epoca de

estudios, período de gracia y

amortización

1 1 <= 24 horas

C&CETEX

Correo electrónico

Office

5 Atención acciones de tutela 3 3 1 SI SI <= 24 horas

Mercurio

C&CETEX

Correo electrónico

6Expedición del certificado de

disponibilidad presupuestal0 0 0 SI <= 8 horas

Apoteosys

Correo electrónico

Office

7Análisis contable con sus

contrapartidas críticas1 1 <= 24 horas

Apoteosys

Correo electrónico

8 Cierre contable mensual 1 1 1 SI <= 24 horas

Apoteosys

C&CETEX

Correo electrónico

9 Consulta de archivo 1 3 1 1 SI <= 8 horas

Mercurio

SGD V2.0 -MTI

Correo electrónico

10 Liquidación de nómina 2 2 1 SI > 30 días

Queryx SRH

Correo electrónico

Office

11 Apoyo logístico 2 2 1 SI <= 48 horas

Office

Apotesoys

Correo electrónico

12 Base de datos 1 1 <= 24 horasOracle

TOAD

13 Soporte Infraestructura 1 6 2 1 <= 48 horas Correo electrónico

14

Aplicación del modelo de

referencia de cartera

comercial

1 1 <= 24 horasOffice

Correo electrónico

15Medición, transmisión y

seguimiento del VaR1 1 <= 24 horas

Internet

Sevinpro

IG Metrica

Total Requerimientos 19 11 20 8

PROCEDIMIENTO

PRINCIPALES

APLICATIVOS

REQUERIDOS

BIENES MUEBLESRECURSO HUMANORPONo.

Código:


Versión: 1

Fecha: 30/05/13

Página: 122 de 123

En la siguiente tabla se desprende la síntesis de los recursos requeridos en contingencia, clasificados por Calificación BIA, con el fin de dimensionar las necesidades de infraestructura de acuerdo con el apetito al riesgo para el PCN de estos procesos ante un evento de interrupción desde un sitio alterno:

Resumen de Infraestructura requerida

Dado que se encuentra clasificado por niveles de prioridad de los procedimientos para

continuidad, es posible tomar distintas decisiones del alcance del PCN. De acuerdo con el

propósito de tener estrategia de continuidad bajo el escenario de Interrupción de Lugar para los

32 procedimientos calificados como críticos (cuyo tiempo objetivo de recuperación comprende de

4 a 48 horas), es necesario operar con:

51 puestos de trabajo para ese mismo número de colaboradores 47 computadores 27 teléfonos

5 impresoras 3 escáneres

PUNTO OBJETIVO DE RECUPERACION – RPO

El cuestionario BIA midió el tiempo tolerable en que la Entidad está dispuesta a perder de

información ante una interrupción en la tecnología de información por fallas. Los resultados

arrojados son los siguientes:

RECURSO

HUMANO

RECURSO HUMANO

DE OUTSOURCINGCOMPUTADOR TELEFONO IMPRESORA ESCANER

RECURSO

HUMANO

RECURSO HUMANO

DE OUTSOURCINGCOMPUTADOR TELEFONO IMPRESORA ESCANER

N - 1AAA

4 horas

Misión crítica

6 7 6 5 1 1 6 7 6 5 1 1

N - 1AA

8 horas

Misión crítica

2 0 1 1 0 0 8 7 7 6 1 1

N - 1A

24 horas

Masivo / alto

24 3 19 12 2 2 32 10 26 18 3 3

Nivel 2

48 horas

Masivo / alto

19 8 21 9 2 0 51 18 47 27 5 3

Nivel 3

7 días

Medio

20 681 18 7 0 0 71 699 65 34 5 3

Nivel 4

14 días

Medio

10 11 10 4 0 0 81 710 75 38 5 3

Nivel 5

30 días

Bajo

12 3 12 2 0 0 93 713 87 40 5 3

Nivel 6

> 30 días

Insignificante

14 0 14 3 0 0 107 713 101 43 5 3

107 713 101 43 5 3

TOTALES POR NIVELES DE CALIFICACION BIA

NIVEL RECURSO HUMANO BIENES MUEBLES

RECURSOS POR NIVELES DE CALIFICACION BIA

BIENES MUEBLESRECURSO HUMANO

Código:


Versión: 1

Fecha: 30/05/13

Página: 123 de 123

Los restantes 34 procedimientos fueron evaluados para un RPO mayor a 24 horas. Actualmente el Icetex realiza backups de la información a los aplicativos con una frecuencia de cada 24 horas. Como se aprecia en el cuadro, el Grupo de Trabajo de PCN en un 50% considera adecuado la protección de datos cada 24 horas y en un 25% hasta puede superar la periodicidad de protección de ese tiempo; la diferencia del 25% requiere backup con frecuencia inferior al día. Esta información es significativa para la Entidad para el establecimiento de estrategias y políticas de backup de la información. APLICATIVOS CRITICOS

Con la información de los Requerimientos Tecnológicos se logró establecer la criticidad de los aplicativos de acuerdo con el uso en los procedimientos, resultado que permite confirmar la necesidad de mantener una adecuada política de protección de los datos de los aplicativos y su contingencia siendo el resultado el siguiente:

26 Procedimientos requieren que el 7 Procedimientos requieren que el 67 Procedimientos requieren que el

RPO <= 4 Horas RPO <= 8 Horas RPO <= 24 Horas19% 5% 50%

Aplicativos implicados Aplicativos implicados Aplicativos implicados

C&CETEX MERCURIO C&CETEX

APOTEOSYS APOTEOSYS APOTEOSYSMERCURIO MERCURIOBIZAGI MAC PAGINA WEB IG METRICASEVINPRO REPORTEADORDECEVAL ORACLE

Aplicativo Procedimientos Observaciones

PAGINA WEB 12 Durante el período 14/05/2012 -

16/07/2012 se realizaron 2.598.956 visitas

a la Página Web del Icetex, efectuada por

1.265.725 usuarios (promedio de 2 visitas

por usuario).

CORREO ELECTRONICO 102

C&CETEX 56

OFFICE 47

APOTEOSYS 32

INTERNET 25

MERCURIO 12

COBOL 9

IG METRICA 6

BIZAGI 5

UTILIZACION DE LOS APLICATIVOS EN LOS PROCEDIMIENTOS

manual de administracion del plan de continuidad de negocios

Documents