Professional Documents
Culture Documents
Mayo de 2013
Contenido
1 2
2.1 2.2
INTRODUCCION OBJETIVOS
OBJETIVO GENERAL OBJETIVOS ESPECIFICOS
4 4
4 4
3 4 5 6
6.1 6.2
5 5 7 8
8 9 10 10 14 15 15 15
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 6.3.1 COMITE SARO - SARLAFT 6.3.2 LIDERES PCN 6.3.3 OFICINA DE RIESGOS 6.4 6.5 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO ENTRENAMIENTO
17
17 17 23 30 34 37 38 38 38
7.1 FASE DE PREVENCION 7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 7.1.2 ETAPA DE ANALISIS DE RIESGOS 7.1.3 ETAPA DE ESTRATEGIA 7.1.4 ETAPA DE PRUEBAS 7.1.5 ETAPA DE MANTENIMIENTO 7.2 FASE DE ADMINISTRACION DE CRISIS 7.2.1 CONCEPTO 7.2.2 OBJETIVOS
38
8
8.1 8.2
ANEXOS
ANEXOS DE ESTRATEGIA TECNOLOGICA ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL
39
39 51 93 93 95 98 98 99 100 101 102 102 106 107 109 116 117 117 117 118
8.3 ANEXOS DE PROCEDIMIENTOS 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 8.4 ANEXOS DE TABLAS 8.4.1 TIPOS DE AMENAZA 8.4.2 TIPOS DE VULNERABILIDADES 8.4.3 CRITERIOS DE FRECUENCIA 8.4.4 CRITERIOS DE IMPACTO 8.5 ANEXOS FORMATOS 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 8.5.3 CASCADA TELEFONICA 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 8.6 ANEXOS RESULTADOS 8.6.1 EQUIPO DE TRABAJO DEL PCN
8.6.2
INTRODUCCION
El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente o desastre que afecte la operacin, como tambin la necesidad de recuperarse en el menor tiempo posible, garantizando la continuidad del instituto. La Administracin del Plan de Continuidad de Negocios es la poltica que el Icetex implementa, para responder organizadamente a eventos que interrumpen la normal operacin de sus procesos y que pueden generar impactos sensibles en el logro de los objetivos. El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte del Sistema de Gestin de Riesgo Operativo, ofreciendo como elementos de control la prevencin y atencin de emergencias, administracin de la crisis, planes de contingencia y capacidad de retorno a la operacin normal.
OBJETIVOS
ALCANCE
La Administracin del Plan de Continuidad de Negocios es una disciplina que prepara a la organizacin para poder continuar operando durante un incidente o desastre, a travs de la implementacin de un plan de continuidad, el cual contempla los lineamientos de administracin de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las metodologas definidas por el Icetex para su ejecucin, como tambin el desarrollo de los planes de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad. De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad fsica de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los mecanismos de proteccin y seguridad, Manual de gestin de la comunicacin en situaciones de crisis y los dems sistemas de gestin.
CONCEPTOS BASICOS
Administracin del Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la organizacin, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de respuesta y dems componentes y actores de la continuidad del negocio. Busca mantener la viabilidad antes, durante y despus de una interrupcin de cualquier tipo. Abarca las personas, procesos de negocios, tecnologa e infraestructura. Incidente de Trabajo: Es un evento que no es parte de la operacin estndar de un servicio y el cual puede causar interrupcin o reduccin en la calidad del servicio y en la productividad. Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o ms de los procesos de negocio. El tiempo de la interrupcin determina que una situacin sea un incidente o un desastre. Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones especficas de un sistema o proceso.
Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operacin, en caso de interrupcin1. Plan de Recuperacin de Desastres (DRP): Es la estrategia que se sigue para restablecer los servicios de tecnologa (red, servidores, hardware y software) despus de haber sufrido una afectacin por un incidente o catstrofe de cualquier tipo, el cual atente contra la continuidad del negocio. Anlisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de recuperacin de cada rea, determinando el impacto en caso de interrupcin. Disponibilidad: La informacin debe estar en el momento y en el formato que se requiera ahora y en el futuro, igual que los recursos necesarios para su uso2. Amenaza: Persona, situacin o evento natural del entorno (externo o interno) que es visto como una fuente de peligro, catstrofe o interrupcin. Ejemplos: inundacin, incendio, robo de datos. Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la Institucin. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre otros. Riesgo: Es la probabilidad de materializacin de una amenaza por la existencia de una o varias vulnerabilidades con impactos adversos resultantes para la Entidad. Frecuencia: Estimacin de ocurrencia de un evento en un perodo de tiempo determinado. Los factores a tener en cuenta para su estimacin son la fuente de la amenaza y su capacidad y la naturaleza de la vulnerabilidad.
Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicacin del riesgo se mide en aspectos econmicos, imagen reputacional, disminucin de capacidad de respuesta y competitividad, interrupcin de las operaciones, consecuencias legales y afectacin
Concepto tomado del Captulo XXIII Reglas relativas a la administracin del riesgo operativo de la Circular Bsica Contable de la Superfinanciera. 2 Concepto tomado del Captulo XII Requerimientos mnimos de seguridad y calidad en el manejo de informacin a travs de medios y canales de distribucin de productos y servicios- Ttulo I de la Circular Bsica Jurdica de la Superfinanciera.
fsica a personas. Mide el nivel de degradacin de uno de los siguientes elementos de continuidad: Confiabilidad, disponibilidad y recuperabilidad. Control: Es el proceso, poltica, dispositivo, prctica u otra accin existente que acta para minimizar el riesgo o potenciar oportunidades positivas. Riesgo inherente: Es el clculo del dao probable a un activo de encontrarse desprotegido, sin controles. Riesgo residual: Riesgo remanente tras la aplicacin de controles.
CAUSAS DE INTERRUPCION
Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios: Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo. No acceso al sitio normal de trabajo: Se presenta cuando por algn evento como desastre natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades propias de su cargo. En este caso y con el nimo de no interrumpir la operacin del proceso crtico se debe contar con un sitio alterno de trabajo, el cual puede ser: Suministrado por la Entidad, Ejemplo: Otra sede. Suministrado por un proveedor, contratista o aliado estratgico. Cada de los sistemas tecnolgicos: Se presenta cuando el hardware y/o software presenta falla(s) o cuando haya interrupcin prolongada de las comunicaciones, ocasionados por: datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano. No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del proceso crtico son realizadas por el proveedor y cualquier falla de ste, generara la no realizacin efectiva del proceso. En este caso se debe garantizar que en el contrato con el proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado, adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el Icetex.
GOBIERNO DE CONTINUIDAD
6.1 LINEAMIENTOS
El objetivo de la administracin de continuidad del negocio es planificar las acciones necesarias para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mnimo su impacto sobre el negocio. Los lineamientos se sustentan en un conjunto de principios que han sido formulados basndose en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son: El plan de continuidad de negocio est orientado a la proteccin de las personas, as como al restablecimiento oportuno de los procesos, servicios crticos e infraestructura, frente a eventos de interrupcin o desastre. Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos definidos y conocer claramente los roles y responsabilidades que le competen en el marco de la continuidad del negocio, mediante labores peridicas de formacin, divulgacin y prueba de los Planes de Contingencia del Negocio. En caso de presentarse un incidente significativo se deben aplicar los mecanismos de comunicacin apropiados, tanto internos como externos, de acuerdo con el manual de Comunicacin en Situaciones de Crisis. Las etapas de la Administracin de PCN deben ser ejecutadas por cada una de las reas de la Entidad, con la gua y coordinacin de la Oficina de Riesgos. Los Jefes de rea deben designar un Lder de Plan de Continuidad del Negocio, quien es responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios para el rea que representa. Las diferentes etapas que conforman la fase de Prevencin deben ser ejecutadas con la siguiente frecuencia: o El anlisis de impacto del negocio debe actualizarse cada dos (2) aos o cada vez que un Lder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus necesidades.
o El monitoreo a los riesgos de continuidad se efectuar de manera semestral. o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas. o Las estrategias se revisarn cada vez que el Lder del Proceso lo considere o como resultado del anlisis de riesgos se determine el ajuste o implementacin de estrategias de contingencia. Los procesos crticos deben ser recuperados dentro de los mrgenes de tiempo requeridos en los Planes de Continuidad del Negocio. La Entidad ha definido como el nivel mximo de aceptacin del riesgo residual, la clasificacin de Tolerable. Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizar la cobertura del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos debe coordinar con el rea responsable del contrato la ejecucin de pruebas a dicho plan. Los planes de contingencia deben mantenerse actualizados, para lo cual se deben desarrollar, probar y de ser necesario mejorar de forma peridica o ante cambios significativos en polticas, personas, proceso, tecnologa; siendo necesario que en dicha revisin participen las reas involucradas.
Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades debern verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas. Adems, existen metodologas del Plan de Continuidad del Negocio fundamentado en el uso de buenas prcticas reconocidas y normas internacionalmente aprobadas basadas en la gestin de riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboracin de este documento.
Tareas de cumplimiento
apoyo,
control
Asesor de Comunicaciones
En caso en que el Comit active el plan de continuidad, podr invitar a otros funcionarios responsables de actividades que impacten la operacin del negocio, caso la Oficina Asesora de Comunicaciones. A) ROLES Y RESPONSABILIDADES A continuacin se describen los roles y responsabilidades de los integrantes del Comit en lo respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus suplentes (alternos) tienen las mismas responsabilidades. Director de Continuidad El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de interrupcin de lugar de trabajo, con base en las decisiones tomadas por el Comit SAROSARLAFT o en situaciones donde amerite realizar su activacin inmediata. Responsabilidades Delegar de manera expresa en el Comit SARO- SARLAFT, la responsabilidad de actualizar, mantener y probar el plan de continuidad. Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de recuperacin y contingencia de la entidad. Liderar las reuniones del Comit SARO SARLAFT. Advertir sobre nuevos riesgos que afectan la continuidad de la operacin normal de la entidad y que ponen al descubierto debilidades del plan de continuidad. Monitorear los reportes sobre el estado de recuperacin o evaluacin durante una contingencia. Velar por la seguridad del personal que acta en el rea del evento. Establecer los objetivos de recuperacin y activar el plan de continuidad ante el escenario de interrupcin de lugar teniendo en cuenta el resultado de la evaluacin Velar por la ejecucin del debido anlisis causa raz del evento que ocasion la contingencia. Director Alterno de Continuidad Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando ste no se encuentre disponible.
Es responsable de declarar la contingencia ante un incidente tecnolgico de algn aplicativo (contingencia especfica), con base en el anlisis realizado por la Direccin de Tecnologa. Realizar las actividades que le sean asignadas por el Director de Continuidad. Lder Administrativo El Lder Administrativo ayuda a coordinar los aspectos logsticos internos cuando la Entidad se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la operacin. Responsabilidades Coordinar el suministro de elementos esenciales como transporte, recursos de infraestructura y papelera. Gestionar la consecucin y adecuacin de los centros alternos de operaciones segn el plan de operaciones en contingencia. Mantener informado al Comit SARO-SARLAFT sobre incidentes por falta de suministros. Lder de Recuperacin Tecnolgica Es la persona encargada de liderar la recuperacin tecnolgica, basados en las estrategias de continuidad implementadas. Es el contacto directo entre la Direccin de Tecnologa y el Comit SARO - SARLAFT; adems, apoya las decisiones tomadas por el Director de Continuidad durante la declaracin y activacin de la contingencia. Responsabilidades Liderar la recuperacin tecnolgica, basados en las estrategias de continuidad implementadas. Identificar los posibles riesgos de aspectos tecnolgicos que afectan la continuidad de la operacin normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad. Mantener comunicacin constante entre Coordinadores de Recuperacin del Negocio durante el estado de contingencia. Colaborar en la comunicacin a los proveedores de los temas o servicios de su competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisin y autorizacin del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones. Entregar los reportes correspondientes al Comit SARO-SARLAFT sobre el estado de la recuperacin.
Velar por la actualizacin de la Estrategia Tecnolgica en los casos que se presenten situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y responsabilidades, disponibilidad de los recursos, entre otros. Velar por la realizacin de las pruebas del plan de continuidad y revisar los resultados obtenidos en las mismas. Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Coordinadores de Recuperacin Los Coordinadores de Recuperacin son personas encargadas de liderar la recuperacin de procesos de negocio crticos, basados en las estrategias de contingencia. Son el contacto directo entre los procesos de negocio y el Comit SARO-SARLAFT; adems, colaboran con las decisiones tomadas por el Director de Continuidad y el Comit SARO-SARLFT durante la declaracin y activacin de la contingencia. Responsabilidades Liderar las reuniones del equipo de recuperacin, para diagnosticar y evaluar las interrupciones que estn afectando la prestacin del servicio. Ejecutar los planes de contingencia ante el incidente presentado. Identificar los posibles riesgos que afectan la continuidad de la operacin normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad. Mantener comunicacin constante durante el estado de contingencia. Colaborar en la comunicacin a los proveedores sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisin y autorizacin del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones. Entregar los reportes correspondientes al Comit SARO-SARLAFT sobre el estado de la recuperacin de sus reas. Velar por la realizacin de las pruebas del plan de continuidad y revisar los resultados obtenidos en la misma. Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Responsable de tareas de apoyo, control y cumplimiento Responsabilidades Realizar las actividades que le sean asignadas durante la declaracin de contingencia. Advertir sobre riesgos que puedan afectar la continuidad en la prestacin del servicio o la funcionalidad del plan.
Asesor de Comunicaciones El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar en la comunicacin del evento de interrupcin a nivel interno (colaboradores) y a nivel externo (clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual de gestin de la comunicacin en situaciones de crisis. Responsabilidades Asesorar al Comit SARO-SARLAFT y especficamente al Director de Continuidad en temas de comunicacin en momentos de crisis. B) LINEA DE SUCESION Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas.
CARGO PRINCIPAL Presidente del Icetex o su delegado, quien presidir el Comit Jefe de Riesgos Secretaria General Director de Tecnologa Vicepresidente Financiero Vicepresidente de Crdito y Cobranza Vicepresidente de Fondos en Administracin Jefe de Control Interno Jefe Oficina Asesora Jurdica Oficial de Cumplimiento Coordinador de Riesgos de Operativo CARGO ALTERNO Jefe de Riesgos Director de Tecnologa Asesor Tcnico de Secretaria General Coordinador de Infraestructura Director de Contabilidad Director de Cobranzas Analista de Vicepresidente de Fondos Administracin Coordinador de la Oficina de Control Interno Analista de Oficina Asesora Jurdica Coordinador de Riesgos de Crdito y Operativo Analista de Plan de Continuidad de Negocios
en
Crdito
Lnea de sucesin
6.3.2
LIDERES PCN
Cada rea cuenta con un Lder de PCN, quien tiene las siguientes responsabilidades en la administracin del plan de continuidad sobre los procesos / procedimientos a cargo: Actuar como punto focal del rea para todos los asuntos de continuidad del negocio. Cumplir con las actividades y fechas establecidas del Cronograma de PCN. Mantener informados a todos los colaboradores de sus respectivas reas, los planes de contingencia que les compete. Asegurar la aplicacin correcta de los PCN al interior del rea.
Revisar el impacto en el rea durante el incidente. Mantener actualizados los documentos de PCN del rea (BIA, Estrategia de Recuperacin, Cascada telefnica, Anlisis de Riesgos. etc). En el Anexo No. 8.6.1 se encuentra la Relacin de los Lderes de PCN y Lderes de Proceso del Icetex.
6.3.3
OFICINA DE RIESGOS
La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad: Definir e implementar los instrumentos, metodologas y procedimientos tendientes a gestionar efectivamente el PCN. Suministrar los programas de capacitacin de PCN. Coordinar, apoyar y hacer seguimiento a la gestin de PCN en cada rea. Guiar en el desarrollo de las diferentes etapas del PCN.
6.5 ENTRENAMIENTO
En el xito del Plan de Continuidad es fundamental contar con la participacin y el compromiso del personal involucrado en el mismo. La administracin de continuidad debe asegurar que todos los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que sern los encargados de ponerlos en funcionamiento en caso de presentarse un evento no
deseado. A los Jefes de las reas tambin se les capacita y concientiza, ya que son los responsables de la correcta ejecucin de los planes. La Oficina de Riesgos suministra los programas de capacitacin, para que sean ofrecidos a todo el personal a travs de la Secretaria General Grupo de Talento Humano. Dentro de la poltica de capacitacin se contempla suministrar a todos los funcionarios capacitacin anual de Plan de Continuidad de Negocios a travs de la herramienta e-Learning, as como en el proceso de induccin.
7.1
FASE DE PREVENCION
En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan los diferentes mecanismos de prevencin ante incidentes o desastres que mitigan su impacto. Est conformada por las siguientes etapas:
B) OBJETIVO El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperacin de Negocios, es la gua que determina qu necesita ser recuperado y el tiempo requerido para recuperacin. C) ALCANCE A travs del desarrollo del BIA se obtiene la siguiente informacin: Evaluacin de los procedimientos, donde se establece cules son primordiales para la continuidad de la Entidad. Determinacin de los impactos de una interrupcin y cuando empiezan. Priorizacin y establecimiento del perodo de tiempo en el que los sistemas, aplicaciones y funciones deben ser recuperados despus de una interrupcin (RTO). Determinacin del orden de recuperacin. Establecimiento del tiempo mximo tolerable permitido de prdida de informacin ante una interrupcin en los sistemas de informacin (RPO). Definicin de los recursos necesarios para el buen desarrollo de los procedimientos a nivel de: Tecnologa, personal, infraestructura y soporte proveedores. D) FASES DEL BIA Para desarrollar la etapa de Anlisis de Impacto del Negocio - BIA se ha establecido cumplir con los siguientes pasos: i. PLANEACION Contempla los aspectos para el correcto y completo desarrollo del BIA, como son: Identificacin Procesos y Procedimientos: Obtener la relacin de los procesos y procedimientos para realizar la Evaluacin BIA. Equipo de Planeacin: Cada rea cuenta con un Lder de PCN, que en conjunto con el Lder de Proceso evalan bajo la metodologa BIA los procedimientos asignados.
ii. METODOLOGIA BIA Todos los procedimientos de la Entidad, as como los recursos tecnolgicos en los que se soportan tales actividades son clasificados de acuerdo con su prioridad de recuperacin. Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause prdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En caso de continuidad todo gira alrededor del impacto, buscando sostener la operacin crtica de la Entidad. La metodologa establece el diligenciamiento del Documento BIA (ver anexo No. 8.5.1), el cual es aplicado para cada una de los procedimientos que se realizan en la Entidad, utilizando el mismo patrn de calificacin. A continuacin se detalla el Documento BIA diseado en la herramienta Excel: CUESTIONARIO DE EVALUACION BIA Permite analizar los impactos que puede causar el no ejecutar un procedimiento por encontrarse ante un incidente o desastre. Los impactos contemplados son: Regulatorio/ Legal: Incluye prdidas por no presentar reportes financieros o de impuestos en las fechas indicadas, demandas o penalizaciones al incumplir requerimientos obligatorios en las actividades de la Entidad. Financiero: Incluye prdida de ingresos, prdida de intereses, costos de pedir dinero prestado para hacer caja, prdida de ingresos por prstamos no realizados, penalizaciones por no cumplir compromisos contractuales o niveles de servicio y prdidas de oportunidades durante el tiempo inoperante. Reputacional: Incluye la prdida de confianza por parte de los clientes, del mercado y de los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el servicio, apariciones en las noticias por quejas de los clientes y prdida de reputacin. Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y oportuna atencin a las necesidades de los usuarios. Operativo: Incluye la suspensin de la operacin y los reprocesos que ello puede ocasionar. Para responder las preguntas se debe tener en cuenta la tabla del numeral 8.4.4 de este documento denominada Criterios del Impacto. La escala de valoracin del impacto es la siguiente: Legal 20 Econmico 20 Servicio al Cliente 40 Reputacional 15 Procesos 5
El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo de Recuperacin Objetivo (RTO), que consiste en establecer cunto tiempo puede permanecer la Entidad sin ejecutar una actividad, el uso de una aplicacin o informacin relevante; est asociado con el tiempo mximo de inactividad. En consecuencia, la mayora de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los clientes por dejar de realizar el procedimiento ante una interrupcin. Adicional, existe la pregunta referente a s el procedimiento analizado proporciona informacin crtica para cualquier otro procedimiento, con el fin de determinar interdependencias. Como resultado de la evaluacin se genera las siguientes valoraciones: Calificacin BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados por no ejecutarse el procedimiento. Esto se deriva a travs de la realizacin del cuestionario BIA. Tiempo Objetivo de Recuperacin (RTO): El perodo de tiempo despus de una interrupcin, mediante el cual el Instituto debe activar sus planes de contingencia y recuperacin de las actividades crticas para evitar un impacto significativo. Valor del BIA: Indica la criticidad del procedimiento basado en la Calificacin BIA y que impulsa el establecimiento de prioridades de recuperacin durante una situacin difcil. La tabla de valoracin establecida es la siguiente:
Tabla Valoracin del BIA
Calificacin BIA Tiempo Objetivo de Recuperacin (RTO) Valor del BIA
Misin Critica Misin Critica Masivo Masivo Medio Medio Bajo Insignificante
Esta informacin ser el punto de partida para desarrollar las estrategias de recuperacin.
Determinacin del Punto de Recuperacin Objetivo de la informacin RPO: El parmetro de Punto de Recuperacin Objetivo de la Informacin determina la periodicidad con la que deben salvaguardarse los datos de los procesos del negocio; cunto ms pequeo sea el RPO ms slido debe ser el mecanismo de proteccin de datos (backup, replicacin online, etc). El cuestionario de Evaluacin BIA contiene la pregunta dirigida a establecer el Punto Objetivo de Recuperacin (RPO) por procedimiento, la cual permite establecer el apetito de riesgo de prdida de informacin ante un incidente tecnolgico. Los parmetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que utilice la Entidad.
Requerimientos Infraestructura: El anlisis de los procedimientos est acompaado de la identificacin de los requerimientos de personal, recursos y facilidades necesarias para su operacin ante un evento de contingencia. Para ello, se tiene dispuesto la hoja de Clculo Requerimientos Tecnolgicos del documento BIA, donde el Lder de PCN diligencia la informacin referente a: Nmero de colaboradores de tiempo completo para ejecutar el proceso. Recurso humano requerido en contingencia. Aplicativos tecnolgicos utilizados en el procedimiento. Con esta informacin se determina la criticidad de los aplicativos del Icetex. Elementos logsticos como son: telfono, impresora, escner etc. Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta compartida del rea.
Informacin de Proveedores Externos: El BIA identifica la relacin del procedimiento con proveedores externos y en la hoja de clculo denominada Informacin Proveedores del Documento BIA se mencionan los proveedores crticos. APROBACION DE LA EVALUACION Cada procedimiento evaluado por la metodologa BIA es revisado, analizado y aprobado por el Lder del Proceso y como evidencia se genera el documento Resultados del Anlisis de Impacto de Negocio (BIA), el cual es firmado por el Lder de Proceso y Lder de PCN del rea. iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS Los resultados de la Evaluacin BIA de todos los procedimientos son consolidados por la Oficina de Riesgos. De esta informacin se producen los siguientes resultados, que deben ser informados al Comit SARO SARLAFT: Nmero de procesos y procedimientos evaluados. Clasificacin de los procedimientos por calificacin BIA. Establecimiento de los procedimientos crticos de la Entidad, de acuerdo con la calificacin BIA. Cantidad de recursos humanos requeridos en contingencia: Nmero de personas que apoyan la contingencia ante una interrupcin de las operaciones. Recursos de Bienes Muebles clasificado por calificacin BIA: Se establecen los bienes muebles necesarios en la contingencia, como son: Computadores, telfonos, escneres, impresoras y otros elementos necesarios en contingencia. Dependencia de los proveedores externos en los procesos prioritarios: Definir los proveedores crticos con el fin de involucrarlos en la estrategia de PCN. Recursos Tecnolgicos: Es necesario suministrar la informacin de: Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada procedimiento, con el fin de contar con la informacin necesaria para el alistamiento de los computadores que se disponen como contingencia en el escenario de Interrupcin de Lugar. Adicionalmente, esta es la fuente para establecer el orden de criticidad de los aplicativos. El punto objetivo de recuperacin (RPO): Con el fin de establecer las estrategias de backup adecuadas para garantizar que en caso de cada y dao de los data files en una base de datos, se restaure la informacin con el mnimo de prdida. En el Anexo No.8.6.2 describe el resultado de la ltima Evaluacin del BIA.
IDENTIFICACION DEL RIESGO El Lder de PCN de cada rea en conjunto con el Analista encargado de la Oficina de Riesgos procede de la siguiente manera: 1. Determinar los procesos crticos del rea a cargo, resultado que se obtuvo en la etapa de Anlisis de Impacto del Negocio (BIA). 2. Establecer los recursos necesarios para la continuidad de los procedimientos crticos, que tambin se estimaron en la etapa de Anlisis de Impacto del Negocio (BIA). 3. Describir las posibles amenazas que conlleven a una interrupcin en la operacin. Para ello, es necesario tomar como gua el anexo No. 8.4.1 denominado Tipos de Amenazas, donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si tales situaciones pueden darse en el proceso analizado.
4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada. Para identificarla es necesario responder esta pregunta: Cmo puede ocurrir una amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro del Instituto puede darse esa circunstancia. Se recomienda utilizar como gua con el anexo No. 8.4.2 denominado Tabla de Vulnerabilidades, donde se encuentra una relacin de debilidades que podran llegar a generar la interrupcin del proceso. Es de aclarar, que esta tabla es solamente una gua pudiendo incluirse muchas otras situaciones de debilidades. 5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad. 6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo con la tabla 8.4.2: Personas Infraestructura fsica Infraestructura de tecnologa de informacin Procesos
CALCULO DEL RIESGO INHERENTE El riesgo de continuidad se evala con dos (2) variables de medicin, una que expresa el impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En consecuencia, para la evaluacin del riesgo de continuidad se utilizar las tablas de los numerales 8.4.3 Criterios de Frecuencia y 8.4.4 Criterios de Impacto, las cuales contienen los criterios que permiten ubicar al Lder del Plan de continuidad del Negocio para efectuar la evaluacin. Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, segn la siguiente escala de medicin: Escala de medicin 3 Moderada
1 Muy baja
2 Baja
4 Alta
5 Muy alta
Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en las diferentes vulnerabilidades que conforman el riesgo. Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de afectacin sobre los siguientes factores de influencia:
Impactos
Regulatorio/ Legal Financiero Servicio al cliente Reputacional Operativo Humano Infraestructura
Para establecer el resultado del impacto para cada riesgo se toma la calificacin del cuestionario BIA. Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente mximo es 25 y el mnimo es 1. EVALUACION DE LOS CONTROLES Este proceso permite evaluar todos los controles asociados a las vulnerabilidades identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de control para poder dar un adecuado tratamiento al riesgo. Los criterios de evaluacin del control son: Oficialidad, Aplicacin y Efectividad, a los cuales se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100. El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables: Control no documentado, no aporta valor al total del criterio. Control documentado, aporta al total del criterio una calificacin de 8 puntos. Control aprobado, aporta al total del criterio una calificacin de 8 puntos. Control divulgado, aporta al total del criterio una calificacin de 4 puntos, para un total de 20 puntos.
El segundo criterio es la Aplicacin, el cual aporta un total de 30 puntos, siendo necesario seleccionar una de las tres (3) opciones, as: El control nunca se aplica, no aporta valor al total del criterio. Se aplica a discrecin, arroja una calificacin de 10. Se aplica siempre, tiene una calificacin de 30. Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:
Comprobada la efectividad, donde se debe contar con la evidencia fsica que dada la aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificacin es de 50 puntos. Percepcin positiva, en la cual no se tiene la evidencia pero la percepcin del experto en cuanto a la efectividad del control es positiva. La calificacin es de 30 puntos. Percepcin negativa, donde la percepcin del experto es negativa en cuanto a la efectividad del control. La calificacin es de 10 puntos. Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo para la prevencin y deteccin de riesgos, dndole una calificacin 0 puntos. La puntuacin obtenida del control genera una calificacin, como se ilustra en la siguiente tabla:
DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O RANGO DE IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION, CALIFICACION DE EVALUACION Y RESPUESTA A LOS RIESGOS LOS CONTROLES CUADRANTES A DISMINUIR EN CUADRANTES A DISMINUIR EN LA FRECUENCIA EL IMPACTO Entre 0 - 50 0 0 Entre 51 - 75 1 1 Entre 76 - 100 2 2
Calificacin del Control
Los controles se clasifican en: Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con que ocurren las causas del riesgo. Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen acciones sobre tales detecciones. Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los eventos que ponen en riesgo el logro de los objetivos del proceso. Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, stos se agrupan y se toma el valor ms alto de las calificaciones obtenidas de los controles. De igual manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.
CALCULO DEL RIESGO RESIDUAL Luego de la valoracin de los controles se identifica el efecto de mitigacin en frecuencia e impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo residual, as: Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla Calificacin del Control, estableciendo el efecto de mitigacin que indica la columna Cuadrantes a disminuir en la frecuencia. Este valor se resta a la frecuencia obtenida en riesgo inherente.
Rango de calificacin de controles 80 puntos Cuadrante a disminuir en la Frecuencia 2 Valor Frecuencia Residual 2
Frecuencia 4
De igual manera se procede con los controles dispuestos para disminuir el impacto del riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla Calificacin del Control, estableciendo el efecto de mitigacin que indica la columna Cuadrantes a disminuir en el impacto. Este valor se resta al impacto obtenido en riesgo inherente.
Calificacin control sobre Impacto 60 puntos Impacto 3 Efecto mitigacin 1 Valor Impacto Residual 2
Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los controles, obteniendo as el Riesgo Residual.
Frecuencia 4
Impacto 3
Riesgo Inherente 12
Frecuencia 2
Impacto 2
Riesgo Residual 4
Al presentarse dentro del Mapa Trmico, se ubica el valor del Riesgo Residual, teniendo en cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles:
FRECIUENCIA
0 0 1 2 3 4 5
IMPACTO
TRATAMIENTO DEL RIESGO RESIDUAL A partir de la evaluacin y anlisis de los riesgos, se priorizan de mayor a menor criticidad, a fin de tomar decisiones de cmo actuar sobre los mismos. Esta metodologa pretende actuar sobre los riesgos que estn fuera del rango de aceptabilidad. El tratamiento del riesgo residual debe ir orientado a cualquiera de las siguientes opciones: Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisin administrativa. Mitigar el riesgo: Se consigue mediante la optimizacin de los procedimientos y la implementacin de controles tendientes a disminuir la frecuencia de ocurrencia y/o minimizar la severidad de su impacto. Dispersar o atomizar el riesgo: Se logra mediante la distribucin o localizacin del riesgo en diversos lugares, procesos o personas. Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la responsabilidad por el manejo del riesgo y/o la obligacin por las consecuencias financieras del riesgo, en caso de ocurrencia. Esta tcnica no reduce la frecuencia ni el impacto, involucra a otro en la responsabilidad. P. e. Plizas de Seguros, Subcontrataciones.
Asumir el riesgo: Aceptacin del riesgo en razn a que los retornos potenciales son atractivos en relacin con los riesgos involucrados. Para los riesgos que en su calificacin residual se clasifiquen como graves o crticos, el Lder de Proceso debe establecer planes de accin que busquen reducir la exposicin de la Entidad a travs de la creacin de nuevos controles o la implementacin de modificaciones a los controles existentes. A dichos planes se les har seguimiento de forma trimestral, y se reportar su avance al Comit SARO-SARLAFT, con el fin de tomar las decisiones respectivas para su tratamiento y mitigacin. Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por los Lderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de realizar la respectiva reclasificacin y acordar acciones. C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de accin para determinar el nivel de exposicin frente al aspecto de disponibilidad de los elementos que se requieren para la continuidad del negocio. El Lder de PCN efecta seguimiento permanente sobre la implementacin de los planes de accin y la verificacin de la efectividad de los controles y a la vez identificando nuevos riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Lder de PCN de cada una de las reas con apoyo del Funcionario Responsable en la Oficina de Riesgos y ste es aprobado por el Lder del Proceso. Este monitoreo se realiza en la Matriz de Riesgo de PCN. Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comit SARO-SARLAFT las medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al riesgo fijado por la Entidad. D) REPORTE DE INCIDENTES DE CONTINUIDAD Los incidentes que afecten la continuidad de la operacin deben ser reportados por los Lderes de PCN a la Oficina de Riesgos, a travs del formato Reportes de Incidentes de Contingencia (Ver numeral 8.5.2), dentro de los tres (3) das hbiles siguientes a la ocurrencia del hecho.
C) ALCANCE La seleccin de los mtodos alternativos de operacin que deben ser utilizados ante una interrupcin para mantener o reanudar las actividades de la Entidad y sus dependencias.
Las diferentes situaciones para las cuales se deben definir estrategias de recuperacin son: Ausencia de personal Sitio alterno Fallas tecnolgicas D) ESTRATEGIAS POR AUSENCIA DE PERSONAL Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicacin: El colaborador ausente activa la Cascada Telefnica y se comunica con el Jefe inmediato. El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por Ausencia de Personal. Distribuye procesos claves o asigna funciones al colaborador Back - up. De ser necesario, solicita al Oficial de Seguridad Tecnolgica la reasignacin de perfiles, a travs del formato F121 Formato asignacin de accesos a sistemas de informacin. El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos. El documento denominado Cascada Telefnica cuenta con la informacin bsica de los colaboradores y proveedores con el nimo de utilizarlos en un evento de contingencia, como es: Funcionarios: Mantener la informacin de los colaboradores permite comunicarse con ellos en el evento que se encuentren fuera de las instalaciones. Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la informacin de contacto. Cada rea cuenta con la informacin de Cascada Telefnica, la cual est conformada por: Cascada: Contiene los datos bsicos de los colaboradores: nombres, cargo, nmero de telfono personal y s fue definido como personal crtico para operar la contingencia o no. Se encuentran descritos en el orden que sern llamados ante un evento.
Personal mnimo: En este se relaciona las personas crticas sobre las cuales depende la ejecucin de la actividad. Se encuentran relacionados los colaboradores que participarn en la contingencia por cada procedimiento. Contacto Externo: Relaciona los datos bsicos de los proveedores: nombre del proveedor, nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto personal, telfono de la oficina y mvil y correo electrnico. En el numeral 8.5.3 se encuentra el formato de Cascada Telefnica. La informacin de Cascada Telefnica de cada rea la conserva el Lder de PCN y la consolidacin de la misma reposa en la Oficina de Riesgos. E) ESTRATEGIA DE SITIO ALTERNO La alternativa de traslado del personal se presenta en el evento que los funcionarios no puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de contingencia permitiendo la continuidad de las operaciones de los procesos crticos del Icetex desde un sitio alterno de operacin. Las alternativas podrn ser usadas simultneamente dependiendo de la disponibilidad del proveedor en el momento de la interrupcin del Icetex, adems depende de la activacin y numero de procesos que se activen segn el evento y el da en que se presente. El numeral 8.3.1 Procedimiento de Estrategia de Sitio Alterno, aporta las actividades que se deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones alterno.
F) ESTRATEGIA TECNOLOGICA La contingencia se presenta cuando el hardware y/o software presenta fallas, o por interrupcin prolongada de telecomunicaciones. La Direccin de Tecnologa tiene estructurado el siguiente Plan de Continuidad para los aplicativos e infraestructura de la Entidad:
APLICATIVOS
Red
Centro Computo
ETB
Servidor
Este cuadro presenta las partes de infraestructura tecnolgica que se les realiza estrategia de contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos), como son: Red, Centro de Cmputo y Servidores desglosado por los temas que la componen. El detalle de estas estrategias tecnolgicas se encuentra en el numeral 8.1, de este documento. Ante una falla tecnolgica se debe ejecutar el Procedimiento de Manejo de Incidentes por problemas en los sistemas, descrito en el numeral 8.3.2. G) ESTRATEGIA CONTINGENCIA MANUAL Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para operar, teniendo como eleccin realizar la actividad de forma manual. Por esta razn, se estructuran estrategias de contingencia manual, para aquellos calificados como crticos y que permitan operar sin un sistema base. Los Lderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias manuales que se disponen en el numeral 8.2 de este documento.
D) TIPO DE PTUEBAS En la siguiente grafica se ilustra la metodologa que se debe utilizar para la realizacin de las pruebas del plan de continuidad de negocio del Icetex:
TIPO DE PRUEBA Prueba Integrada
Pruebas Componentes Integrada
TECNICA UTILIZADA
OPERACIN
Prueba integrada con todos los elementos que hacen parte del plan de contingencia.
Pruebas de Escritorio
Creacin de un escenario Seguimiento en vivo de todas las estrategias re recuperacin Con previo aviso. Apoyo de los proveedores de recuperacin Componentes Creacin de un escenario Seguimiento de las estrategias de recuperacin Con previo aviso. Escritorio Con previo aviso. Creacin de un escenario.
Se ejecutan las estrategias y procedimientos de recuperacin de cada uno de los componentes de la infraestructura tecnolgica.
Se realiza un ejercicio de papel de un escenario de desastre que toma lugar en un saln de conferencia.
E) PLAN DE PRUEBAS Para la realizacin de una Prueba de Estrategia de Continuidad es necesario diligenciar el documento Plan de Pruebas (ver anexo No. 8.5.4), conformado por los siguientes pasos: Guion de pruebas: Es el documento mediante el cual se plasma la intencin de efectuar la revisin de la estrategia de continuidad estimada para el proceso o servicio determinado, donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de interrupcin, los resultados esperados, los integrantes de las pruebas y los riesgos asociados a la ejecucin de la prueba. Este documento debe desarrollarlo previo a la ejecucin de la prueba el Lder de PCN responsable del proceso a probar con la gua del funcionario encargado en la Oficina de Riesgos. Paso a paso de la planeacin: Este documento relaciona las actividades a efectuar durante la prueba, indicando adems los responsables de realizar tales actividades as como los recursos mnimos necesarios y los tiempos de su realizacin, para la estimacin completa
del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son necesarios para la adecuada realizacin de la prueba. Al igual que en el anterior tem, este informe debe ser adelantado previo a la ejecucin de la prueba por el Lder de PCN responsable del proceso a probar con la gua del funcionario encargado en la Oficina de Riesgos. Paso a paso de la ejecucin: Este documento contiene las actividades realizadas en el desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se presenten algn incidente dentro de la prueba. Adicionalmente, se describen los recursos mnimos necesarios, los responsables y los tiempos de ejecucin de las actividades. Este informe es elaborado en el momento de la prueba por el Lder de PCN responsable del proceso a probar con la gua del funcionario encargado en la Oficina de Riesgos. Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan para retornar a la operacin normal, caso devolucin a los puestos de trabajo, captura de las operaciones que no se procesaron en un aplicativo, entre otras. Encuesta de satisfaccin: Este informe lo realizan diferentes integrantes de la prueba, donde se busca determinar el grado de satisfaccin de la prueba. La conforman aspectos como: duracin de la prueba, preparacin de la prueba y la comunicacin de la misma, y dificultades que se identificaron. Acta de reunin: En este documento se establecen los objetivos, conclusiones de la prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros obtenidos en la ejecucin de la prueba y los riesgos asociados identificados en la ejecucin de la prueba, as como las acciones mitigantes que mejorarn la estrategia de continuidad del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la prueba. Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento Acta de reunin dirigido a los participantes y al jefe responsable de proceso.
7.2.1
CONCEPTO
En esta fase se gestiona efectivamente el manejo de la crisis, durante y despus de la misma; un buen manejo de la crisis minimiza los impactos de una interrupcin.
7.2.2 OBJETIVOS
Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta. Identificar tipos de emergencias y las respuestas necesarias.
7.2.3 ALCANCE
Este plan de administracin de crisis se ejecuta teniendo como premisa las decisiones del Comit SARO- SARLAFT. Todas las comunicaciones sern dirigidas por el responsable de comunicaciones del Instituto y se apoyarn en el Manual de gestin de la comunicacin en situaciones de crisis. Los documentos indicados en los numerales 8.3.1 y 8.3.2 Escenario de contingencia a sitio alterno y Manejo de incidentes por problemas en los sistemas, sintetizan esta fase, la cual est conformada por las siguientes etapas: Etapa de Evaluacin: La evaluacin constituye la etapa de valoracin preliminar de un evento de interrupcin que afecta de forma considerable la Entidad. La evaluacin se hace en sitio, teniendo en cuenta los perfiles y competencias necesarios para determinar: causa de la interrupcin, poblacin de usuarios afectada, apreciacin de la magnitud, valoracin del dao, escenario de soluciones, recursos involucrados y tiempo estimado de la solucin. Etapa de Activacin: Se describen las actividades requeridas para declarar y comunicar el desastre de forma tal que se active la contingencia y se comunique la interrupcin a los equipos responsables de recuperar el servicio. Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para restaurar la operacin a la normalidad, una vez superada la contingencia y recuperados los servicios de la entidad.
ANEXOS
Recuperar un servidor de base de datos por dao en el sistema manejador de la base de datos que se encuentra en el centro de cmputo ICETEX. 2. ALCANCE
El procedimiento aplica para los siguientes escenarios: Daos o fallas en algn servidor que afecte servicios dentro de los cuales esta soportado por una base de datos. Falla a nivel de Software de Base de datos.
3.
CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles: Contrato vigente de soporte y Carta de Servicio ORACLE o MS SQL Server 4. DESCRIPCIN
DIAGRAMA DE FLUJO
ACTIVIDADES
ACTIVIDADES O TAREAS No. Act 1 Descripcin de la Actividad Identificar la falla y realizar un diagnstico interno Llamar al CONTRATISTA responsable del mantenimiento Diagnstico situacin. de la Llamar a las lneas: Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Direccin de Tecnologa (Continuidad_de_negocio) Se efecta un diagnstico del estado de la base de datos. De acuerdo al diagnstico se decide sobre el mejor procedimiento para restablecer el servicio. En caso afirmativo pasa al punto 5 de lo contrario al punto 6. Se restablece el servicio en el mismo Observaciones Responsable Administrador de base de datos la Recursos requeridos ubicacin y
la
Contrato
Administrador de la base de datos y/o contratista Administrador de la base de datos y/o contratista Administrador de la
La extraer del repositorio Continuidad_de_negocio de plantillas de hojas de vida de las bases de datos. Toma la hoja de vida y con los comandos de la consola de administracin crea la base de datos con los parmetros descritos en la hoja de vida. Tomar ultima copia de seguridad disponible de la base de datos y proceder a su restauracin en la base de datos creada recientemente. Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignndoles los perfiles requeridos Si los resultados son satisfactorios se sigue al paso 11, sino vuelve al paso 4.
base de datos y/o contratista Administrador de la base de datos, Coordinador de infraestructura, o el Director de tecnologa Administrador de base de datos. la
Crear la base de datos en el servidor de contingencia. Recuperar ultima copia de la base de datos. Definir los usuarios del sistema en el nuevo servidor. Verificar que la base de datos opera adecuadamente. Se informa al Coordinador de Infraestructura o al Director de Tecnologa del restablecimiento del servicio Reporte de servicio restablecido.
la
la
10
la
11
se
la
12
5.
SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE
6.
VERSIN V1
ESTRATEGIA TECNOLGICA DE RED WAN 1. OBJETIVO Recuperar un enlace de comunicacin entre una sede regional y el nodo central 2. ALCANCE
El procedimiento aplica para los siguientes escenarios: Daos o fallas en algn enlace que afecte servicios dentro de los cuales esta soportado por la red WAN. 3. N/A 4. CONDICIONES GENERALES DEFINICIONES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles: Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo) 5. DESCRIPCIN
DIAGRAMA DE FLUJO
ACTIVIDADES
ACTIVIDADES TAREAS
No. Act
Descripcin la Actividad
de
Observaciones
Responsable
Identificar la falla y realizar un diagnstico interno Llamar a las lneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos
Llamar al CONTRATISTA
Contrato (Anexo 1)
7 8
Diagnstico de la situacin por parte del administrador de la red o del contratista Se puede recuperar el servicio empleando el canal de contingencia Proceder a restablecer el servicio Establecer canal de comunicacin alterno Validar la configuracin Verificar que el enlace opera adecuadamente Se informa al Coordinador de infraestructura o al Director de tecnologa, del
Coordinador de Infraestructura o Profesional de Direccin de tecnologa o contratista Coordinador de Infraestructura o Profesional de Direccin de tecnologa o contratista Contratista
Se restablece el servicio y se pasa al paso 7 Enviar equipo de trabajo, revisar el enrutador, el enlace, canal Establecer QoS, parmetros de configuracin, enrutamiento, etc Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica Reporte de funcionamiento y se documenta el proceso efectuado
Contratista Coordinador de Infraestructura o Profesional de Direccin de tecnologa o contratista Coordinador de Infraestructura o Profesional de Direccin de tecnologa
Cdigo: Versin: 1 Fecha: 30/05/13 Pgina: 45 de 123 restablecimiento del servicio 10 Reporte de servicio restablecido
6.
SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
RESPONSABLE
7.
VERSIN V1
OBSERVACIN
ESTRATEGIA TECNOLGICA DE LAN - SWITCHES 1. OBJETIVO Recuperar un Switch que se encuentra en la red de ICETEX. 2. ALCANCE
El procedimiento aplica para los siguientes escenarios: Daos o fallas en alguno de los Switches. Falla a nivel de Hardware o Software. 3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles: Contrato vigente de soporte y Carta de Servicio DSSP (Ver Anexo) 4. DESCRIPCIN
DIAGRAMA DE FLUJO
ACTIVIDADES
ACTIVIDADES O TAREAS
No. Act
Observaciones
Responsable
Administrador de la Red Llamar a las lneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Direccin de tecnologa Continuidad_de_negoci o contactos La suministrar el Coordinador de Infraestructura de Tecnologa o el Director de tecnologa, y este la ubicar en el repositorio Continuidad_de_negocio plantillas de configuracin de los swicthes Toma la plantilla y con los comandos ::: proceder a cargarla en el Swicth de reposicin Se conecta el switch y se efectan las pruebas de enrutamiento necesarias. Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica Reporte de funcionamiento y se documenta el proceso efectuado El Coordinador de
Llamar al CONTRATISTA responsable del mantenimiento o tomar uno de los switch del stock disponible para asignar un recambio
Administrador de la Red
Administrador de la Red
Recuperar la configuracin
plantilla
de
Resetear el swicth, y aplicar la plantilla de configuracin Verificar que el swicth opera adecuadamente
Administrador de la Red
Administrador de la red
El swicth opera adecuadamente Se informa al Coordinador de infraestructura o al Director de tecnologa, del restablecimiento del servicio Reporte de servicio restablecido
Administrador de la red
5.
SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
RESPONSABLE
6.
VERSIN V1
OBSERVACIN
V2 V3
17/08/2010 05/12/2012
Ajustar procedimiento a formato. Ajustar el procedimiento de acuerdo al anlisis de impacto de negocio desarrollado y la nueva estrategia de outsourcing del centro de datos.
ESTRATEGIA TECNOLGICA DE SISTEMA OPERATIVO SOFTWARE DE BASE DE DATOS 1. OBJETIVO Recuperar un servidor de base de aplicaciones por dao en el sistema. 2. ALCANCE
El procedimiento aplica para los siguientes escenarios: Daos o fallas en algn servidor que afecte servicios dentro de los cuales esta soportado por un servidor web o servidor de aplicaciones. Falla a nivel de Software Base del servidor. 3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles: Contrato vigente de soporte servidores 4. DESCRIPCIN
ACTIVIDADES
ACTIVIDADES TAREAS No. Act Descripcin Actividad de la Recursos requeridos y ubicacin
Observaciones
Responsable
Identificar la falla y realizar un diagnostico interno Llamar a las lneas: - Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos Se efecta un diagnstico del estado del software base. De acuerdo al diagnstico se decide sobre el mejor procedimiento para restablecer el servicio
Administrador servidores
Llamar al CONTRATISTA responsable del mantenimiento o Diagnstico de la situacin por parte del administrador del servidor o del contratista Se puede recuperar el servicio en la misma mquina
Administrador servidores
de
Contrato
del
del y/o
Administrador del servidor Coordinador de infraestructura, Administrador del servidor o el Director de tecnologa Administrador servidor del
Actualizar la configuracin en el servidor de contingencia Definir los usuarios del sistema en el nuevo servidor Verificar que el servidor la aplicacin, el servidor web o servidor de aplicaciones opera adecuadamente Se informa al Coordinador de infraestructura o al Director de tecnologa, del restablecimiento del servicio
Toma la hoja de vida y con los comandos de la consola de administracin instala, configura los servicios con los parmetros descritos en la hoja de vida. Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignndoles los perfiles requeridos Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica
Administrador servidor
del
Administrador servidor
del
10
se
Administrador servidor
del
11
Reporte de restablecido
servicio
5.
SEGUIMIENTO Y CONTROL ACTIVIDAD A CONTROLAR COMO EJERCER EL CONTROL EVIDENCIA DEL CONTROL RESPONSABLE
6.
VERSIN V1
8.2
Generacin de correspondencia externa ante imposibilidad de operar en el sistema mercurio Consulta de archivo Secretaria General Pago de servicios pblicos y administraciones ante la Secretaria General imposibilidad de operar en el sistema Apoteosys
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE RESOLUCIONES DE GIRO POR FALLAS DEL SISTEMA C&CETEX Macro proceso: Otorgamiento de Productos Proceso: Gestin de legalizacin y renovacin para aprobacin del desembolso 1. OBJETIVO Obtener un plan de contingencia para el procedimiento crtico de Resoluciones de Giro en la Vicepresidencia de Fondos por fallas del sistema C&CETEX. 2. ALCANCE Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos, caso en el que la Vicepresidencia de Fondos en Administracin determinar los Giros urgentes a emitir en el da, de acuerdo con los compromisos contrados con los Constituyentes y sobre esta decisin informar al personal encargado para que procedan a aplicar la contingencia. 3. CONDICIONES GENERALES Para el desarrollo de esta contingencia se requiere contar con el reporte de Faltantes de Giro de la Vicepresidencia de Fondos en Administracin, actualizado a fecha del da anterior, para lo cual es necesario que el funcionario designado genere al final del da este reporte y lo guarde en la Carpeta Compartida de la Vicepresidencia de Fondos, debidamente protegido para que no sea posible su manipulacin por ninguna persona. Los giros propuestos a gestionar debern haber cumplido con las siguientes condiciones para iniciar el proceso de giro: o Hallarse la documentacin soporte en la Entidad, o Encontrarse en el sistema C&CETEX con los estados de: Autorizado, Concepto jurdico viable o Renovado IES. 4. 4.1 DESCRIPCION ACTIVACION DE LA CONTINGENCIA - GENERACION DEL GIRO
Encargado del Fondo / Vicepresidencia de Fondos en Administracin 4.1.1 Cumplido el Procedimiento de Legalizacin de Crdito Educativo, se recepciona por parte del Constituyente la autorizacin con la relacin de los Beneficiarios autorizados para que se les desembolse, documento debidamente firmado por el funcionario autorizado en el Fondo.
4.1.2
4.1.3
4.1.4
4.1.5 4.1.6
Ingresar a la direccin de Carpeta Compartida de Fondos y seleccionar el reporte Faltantes de Giro, que contiene la informacin de los Beneficiarios que se encuentran en las condiciones indicadas en el numeral 3. Proceder a filtrar la informacin con la informacin de los Beneficiarios a gestionar el giro de acuerdo al rubro a pagar. Revisar que los datos del Beneficiario autorizado en el documento de Autorizacin de Beneficiarios contenga la misma informacin que se encuentra en el Reporte de Faltantes de Giro: nombre del beneficiario, universidad, programa, valor aprobado para el giro. Si la revisin es coincidente proceder a diligenciar el formato F135 Formato de Autorizacin de Giros Vicepresidencia de Fondos en Administracin. Esta planilla debe firmarla en constancia de elaboracin. En caso que se presente diferencia en la informacin, es necesario solicitar aclaracin con el Constituyente a travs de correo electrnico. Entregar al Tcnico Administrativo los siguientes documentos: Formato F135 Formato de Autorizacin de Giros Vicepresidencia de Fondos en Administracin y documento de Autorizacin de Beneficiarios por parte de Constituyente.
Tcnico Administrativo / Vicepresidencia de Fondos en Administracin 4.1.7 4.1.8 Elaborar por cada orden de giro, el Formato Resolucin Giro Contingencia C&CETEX con los datos indicados en el formato 135. Revisar el Formato Resolucin Giro Contingencia C&CETEX contra el formato F135 Formato de Autorizacin de Giros Vicepresidencia de Fondos en Administracin, verificando que los datos que componen la orden de resolucin coincida la informacin que reposa en el reporte de faltantes. Las ordenes de resolucin cuya informacin es igual, sern firmadas por el Tcnico Administrativo, en el campo de Elaboro. Aquellas resoluciones que difiere la informacin debe corresponder a equivocacin en la emisin de la orden de resolucin, por cuanto es necesario corregir las rdenes y volver a imprimir y firmar. Entregar al Encargado del Fondo las resoluciones y documentacin soporte al Encargado del Fondo.
4.1.9 4.1.10
4.1.11
Encargado del Fondo / Vicepresidencia de Fondos en Administracin 4.1.12 4.1.13 Revisar la ordenes de resoluciones de giro garantizando su correcta emisin, en constancia firma en el campo Reviso de dicho documento. Entregar al Encargado del Fondo las resoluciones y documentacin soporte al Coordinador.
4.1.14
4.1.18
Revisar el formato F135 Formato de Autorizacin de Giros Vicepresidencia de Fondos en Administracin, la orden de resolucin de giro, el Formato Resolucin Giro Contingencia C&CETEX y la Autorizacin del Fondo con la relacin de los beneficiarios contra el Reporte de Faltantes de Giro, verificando la consistencia en la informacin. De encontrarla correcta, proceder a firmar la Planilla 135 Formato de Autorizacin de Giros Vicepresidencia de Fondos en Administracin y la Resolucin Giro Contingencia C&CETEX. De encontrar algn tipo de inconsistencia, debe rechazar la orden de resolucin y solicitar aclaracin al Funcionario encargado del Fondo. Entregar la documentacin correspondiente a las rdenes de Resolucin de giro autorizadas al Vicepresidente de Fondos en Administracin, quien realiza una ltima verificacin de la informacin y firma como Ordenador del Gasto. Estos documentos son devueltos al Coordinador responsable del Fondo. Actualizar los giros ordenados en el Reporte de Pendientes, diligenciando los siguientes campos: Fecha orden de resolucin: Aos, mes y da (AAAA/MM/DD) de la solicitud de emisin de la orden de giro. Elaborado: Nombre y apellido del Funcionario encargado del Fondo que est solicitando la orden de resolucin de giro.
Tcnico Administrativo / Vicepresidencia de Fondos en Administracin 4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo Fecha de resolucin y proceder a generar un archivo independiente con las resoluciones de desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura requerida por el sistema Apoteosys, informacin que reposa en el Reporte de Pendientes de Fondos. Entregar las rdenes de Resolucin y el formato F135 Formato de Autorizacin de Giros Vicepresidencia de Fondos en Administracin al Grupo de Presupuesto de la Vicepresidencia Financiera, para su cumplimiento. CARGE DEL ARCHIVO EXCEL CON INFORMACION DE LAS RESOLUCIONES DE DESEMBOLSO AL MAESTRO DE RESOLUCIONES DE APOTEOSYS
4.1.20
4.2
Tcnico Administrativo / Vicepresidencia de Fondos en Administracin 4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las instrucciones dadas por la Direccin de Tecnologa.
4.3.1
4.3.2
Una vez restablecida la incidencia presentada en el aplicativo C&CETEX, la Direccin de Tecnologa efectuar la actualizacin de las ordenes de resoluciones emitidas que ya han sido cargadas en el sistema Apoteosys. Informar a la Oficina de Riesgos la actualizacin del aplicativo C&CETEX y su restablecimiento.
Oficina de Riesgos 4.3.3 Avisar a la Vicepresidencia de Fondos en Administracin el restablecimiento del sistema C&CETEX y el Vicepresidente informe al personal del rea y puedan ingresar a dicho aplicativo.
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE EXPEDICION DEL CERTIFICADO DE DISPONIBILIDAD PRESUPUESTAL ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
1.
OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Expedicin del Certificado de Disponibilidad Presupuestal (CDP), donde se emite el documento que garantiza la existencia de apropiacin presupuestal disponible, para la asuncin de compromisos o traslados con cargo al presupuesto de la respectiva vigencia fiscal.
2.
ALCANCE Este procedimiento se utiliza ante la activacin de contingencia dada por la Oficina de Riesgos, caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera determina los Certificados de Disponibilidad Presupuestal a emitir en el da, de acuerdo con las necesidades de las diferentes reas de la Entidad y sobre esta decisin informa al personal del Grupo de Presupuesto para que procedan a aplicar esta contingencia.
3.
CONDICIONES GENERALES Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de Ejecucin Presupuestal y Base de Datos de los CDPs (Control dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada Reportes Consulta, documentos a conservar debidamente protegidos para que no permitir su manipulacin por ninguna persona ajena al rea.
Realizar solicitud de CDP (Certificado de Disponibilidad Presupuestal) dirigido al Coordinador de Presupuesto por medio de memorando, el cual es firmado directamente por el Ordenador del Gasto.
4.2
Recibir memorando y verificar que se encuentre la siguiente informacin: Descripcin del gasto, vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de Presupuesto.
4.3.1 4.3.2
4.3.3
4.5
Si la informacin es correcta, firmar el CDP; en caso contrario, solicitar su correccin al Funcionario Encargado.
5.
RETORNO A LA NORMALIDAD Este procedimiento de contingencia podr retornar a la normalidad una vez confirme la Oficina de Riesgos la solucin del aplicativo Apoteosys, siendo necesario efectuar la actualizacin manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1
5.2
Registrar la informacin del CDP emitido, afectando el rubro presupuestal con el que se emiti el documento.
Modificar el rubro presupuestal en caso que se hayan realizado ajustes.
6.
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE COMPROMISOS ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
1.
OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Registro Presupuestal de Compromisos, documento mediante el cual se afecta de forma definitiva la apropiacin presupuestal.
2.
ALCANCE Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos, caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina las solicitudes de suscripcin de compromisos a emitir en el da, de acuerdo con las necesidades urgentes de las diferentes reas de la Entidad y sobre esta decisin informa al Grupo de Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situacin de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del da, atendiendo en orden de prioridad.
3.
CONDICIONES GENERALES Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos) y la Base de datos de los CDPs (Control Dual), debidamente actualizados y armonizados a la fecha, las cuales reposan en la Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada Reportes Consulta, documentos a conservar debidamente protegidos para que no permitir su manipulacin por ninguna persona ajena al rea. No se puede generar ningn compromiso presupuestal sin contar con el respectivo CDP (Certificado de Disponibilidad Presupuestal).
4.
DESCRIPCIN
De encontrar correcta la informacin entrega al Funcionario Encargado; s contiene inconsistencias devuelve al Ordenador del Gasto.
4.3.1
As mismo, estampar el sello de Presupuesto registrado en cada folio del compromiso registrado.
Emitir comunicacin al Grupo de Contratacin sobre la emisin de registro presupuestal de compromisos y anexar los documentos soporte al registro presupuestal y entregar al Coordinador de Presupuesto.
4.3.2
Si no existe saldo por comprometer en el CDP, elaborar memorando rechazando el procedimiento, el cual se entrega al Coordinador del Grupo de Presupuesto.
4.5
5.
RETORNO A LA NORMALIDAD Este procedimiento de contingencia podr retornar a la normalidad una vez confirme la Oficina de Riesgos la solucin del aplicativo Apoteosys, siendo necesario efectuar la actualizacin manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE REGISTRO PRESUPUESTAL DE OBLIGACIONES ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestin Financiera Proceso: Gestin Presupuestal 1. OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema apoteosys para desarrollar el procedimiento de registro presupuestal de obligaciones, documento donde se autoriza el pago del compromiso adquirido, garantizando que este solo se comprometer para este fin. 2. ALCANCE Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos, caso en el que el Coordinador Grupo de Presupuesto de la Vicepresidencia Financiera determina las rdenes de pago a atender en el da, de acuerdo con las necesidades urgentes de las diferentes reas de la Entidad y sobre esta decisin informa al Grupo de Presupuesto para que procedan a aplicar esta contingencia. Es de aclarar, que en situacin de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del da, atendiendo en orden de prioridad.
3. CONDICIONES GENERALES Para el desarrollo de esta contingencia se requiere contar con la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos), debidamente actualizado y armonizado a la fecha, la cual reposa en la Carpeta Compartida del Grupo de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada Reportes Consulta, documento a conservar debidamente protegido para que no permitir su manipulacin por ninguna persona ajena al rea. Este procedimiento se rige por el Acuerdo 001 del 16 de junio del 2006, por el cual se aprueba el Estatuto de Presupuesto del ICETEX, en especial lo relacionado en el captulo V, artculo 37. 4. DESCRIPCIN Ordenador del Gasto
Si la obligacin corresponde a fondos, seguir el procedimiento Registro Presupuestal de Obligaciones de Fondos (A2-1-09). Si la obligacin no corresponde a fondos, seguir el procedimiento Legalizacin de contrato u orden de compra o servicio. (A4-2-01). Ordenador del Gasto - Ejecutor del Presupuesto 4.1 Realizar y revisar la Orden de Pago F50 manual. De acuerdo con la naturaleza del compromiso realiza la orden de pago acompaada de los soportes necesarios (factura, resumen de nmina, caja menor, fondos, resoluciones de giro, crdito TAE, Access, Fiduciaria, giros).
Funcionario Encargado / Grupo de Presupuesto 4.2 4.3 Recibir la Orden de Pago F-50 manual y los respectivos soportes. Revisar la Orden de Pago F-50 manual y los respectivos soportes, de conformidad con el contrato y/o normas establecidas y que los valores en ellos consignados sean los correctos, procediendo as:
Si no tiene los respectivos soportes completos, devolver la Orden de Pago F-50 manual sin tramitar, dndose como no recibida al Ordenador del Gasto o Ejecutor del Presupuesto. De presentarse los documentos soportes completos y correctos, revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos):
4.3.1
4.3.2
4.3.2.1 Existencia de compromiso por cumplir, es decir que haya la disponibilidad de recursos para efectuar ese pago de acuerdo con el compromiso adquirido. 4.3.2.2 Disponibilidad del saldo. 4.4 Si en la revisin determina que carece de compromiso por cumplir, proceder a emitir comunicacin al Ordenador del Gasto, devolviendo la orden e indicando el motivo. Las rdenes de recursos propios se registran en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos), donde se actualiza automticamente el saldo con la obligacin que se est tramitando.
4.5
4.6
Colocar sello de registro de obligacin a la orden de pago, conteniendo la fecha de registro de obligacin, e indica que los documentos ya fueron tramitados por el Grupo de Presupuesto.
4.7
Aquellas rdenes a devolver, verificar el motivo de la devolucin junto con los documentos soportes, si es correcto, firmar comunicacin al Ordenador del Gasto. En caso de encontrar inconsistencias en la devolucin, informar al Funcionario Encargado para su correccin. Las ordenes que cumplen con las condiciones de existencia de compromiso por cumplir, revisar en la Base de datos para Control Presupuestal de Compromisos y Obligaciones (Pagos) su correcto registro; de estar en orden firmar la orden de pago F-50 manual en el campo denominado Presupuesto.
4.8
Profesional Universitario 1 Analista 3/ Direccin de Tesorera Seguir procedimiento Giro (A2-2-04). Analista 3 / Direccin de Contabilidad
Si hubo causacin ingresa al aplicativo de Apoteosys y cancela las cuentas por pagar.
5. RETORNO A LA NORMALIDAD Este procedimiento de contingencia podr retornar a la normalidad una vez confirme la Oficina de Riesgos la solucin del aplicativo Apoteosys, siendo necesario efectuar la actualizacin manual en este sistema con las actividades que se realizaron en contingencia: 5.1
5.2
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE ANALISIS CONTABLE DE CAUSACIONES Y CUENTAS POR PAGAR ANTE IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS Macro proceso: Gestin Financiera Proceso: Gestin Contable y Tributaria 1. OBJETIVO Obtener un plan de contingencia para el procedimiento crtico de Anlisis contable de causaciones y cuentas por pagar ante imposibilidad de operar en el sistema Apoteosys, garantizando el correcto registro contable y la razonabilidad de los movimientos generados a partir de las cuentas por pagar con sus respectivos impuestos, teniendo en cuenta la normativa contable vigente. 2. ALCANCE Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos, caso en el cual se proceder as: El Director de Tecnologa definir las medidas para apoyar la contingencia, as como aquellas actividades necesarias para solucionar la situacin generada en el aplicativo Apoteosys. El Director de Contabilidad de la Vicepresidencia Financiera determinar los registros contables a efectuar en el da, de acuerdo con las necesidades de las diferentes reas de la Entidad y sobre esta decisin informar al personal encargado para que procedan a aplicar esta contingencia. 3. CONDICIONES GENERALES Obtener el Informe de Saldos y movimiento contables, clasificado por cuenta y tercero, el cual puede ser generado a partir del ltimo backup del sistema o por la herramienta Biable. Para ello, se contar con el apoyo de la Direccin de Tecnologa, donde ejecutarn el Procedimiento PCTI BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex. La documentacin soporte de la cuenta por pagar definida en los entregables establecidos en el contrato u orden de servicio, debe estar completa y pre-validada por el Interventor que le corresponda.
La informacin del proveedor o contratista debe haber sido previamente verificada en SARLAFT, dentro del proceso precontractual. Los soportes de la cuenta de cobro o facturas deben ser entregados el mismo da en que se genera la cuenta de cobro, previa revisin del Interventor que corresponda. 4. DESCRIPCIN Coordinador de Tecnologa / Direccin de Tecnologa
Aplicar el procedimiento PCTI BD2, descrito en el Manual de Plan de Continuidad de Negocios del Icetex.
Establecer el valor y oportunidad de liquidacin de impuestos, haciendo verificacin del clausulado contractual y el pago de parafiscales. Verificar el registro del proveedor con sus obligaciones tributarias diligenciadas dentro de la factura de proveedor, de acuerdo con el rgimen tributario al cual pertenece, estableciendo la razonabilidad contable del movimiento, analizando si el movimiento corresponde a una provisin, gasto, anticipo o es un pago de impuestos. Realizar la liquidacin del pago de impuestos manualmente de conformidad con el anlisis realizado y registrar el movimiento de cuentas dentro del Informe de Saldos y movimiento contables. Estampar el sello de Contabilizado en la Orden de Resolucin u Orden de Pago, firmar y colocar la fecha de procesado en la Direccin de Contabilidad. Analizar el impacto del movimiento contable en los estados financieros y en los estados de cuentas de los fondos en administracin. Entregar la Orden de Resolucin u Orden de Pago y los documentos soportes a la Direccin de Tesorera para que realice el giro. Una vez realizado el desembolso de acuerdo con el procedimiento de Giro en la Direccin de Tesorera, consolidar la informacin en el Informe de Saldos y movimiento contables.
5. RETORNO A LA NORMALIDAD Tcnico Administrativo / Direccin de Contabilidad 5.1 Una vez confirme la Oficina de Riesgos la solucin del aplicativo Apoteosys, obtener los nuevos saldos de las cuentas contables en el Informe de Saldos de movimientos contables. Extraer los movimientos contables que se realizaron durante la contingencia, generando un archivo plano y subirlo en el aplicativo Apoteosys por la opcin de Interfaces. Comparar los saldos contables generados en el sistema Apoteosys con los producidos en el Saldos de movimientos contables, debiendo existir consistencia en la informacin. En caso de existir diferencia es necesario establecer la diferencia y corregir.
5.2
5.4
6.
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE GIRO ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA APOTEOSYS
1.
OBJETIVO Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para desarrollar el procedimiento de Giro, documento que integra las actividades a realizar para la emisin de los diferentes pagos para cumplir con las obligaciones del Icetex. 2. ALCANCE Este procedimiento se utiliza ante la activacin de Contingencia dada por la Oficina de Riesgos, situacin donde el Director de Tesorera de la Vicepresidencia Financiera determina las Resoluciones de Giro y Orden de Pago a emitir en el da, de acuerdo con las necesidades urgentes de las diferentes reas de la Entidad y sobre esta decisin informa al Grupo de Pagadura para que procedan a aplicar esta contingencia. Es de aclarar, que en situacin de contingencia se presta el servicio teniendo en cuenta el volumen de operaciones del da, atendiendo en orden de prioridad.
3. 3.1
CONDICIONES GENERALES Para el desarrollo del giro a travs de Transferencia Electrnica o Tarjeta Recargable, es necesario contar con el formato del archivo plano de Archivo de Transferencias de los Portales Bancarios donde el Icetex tiene Cuentas Corrientes / Ahorros.
4.
DESCRIPCIN
Si es un giro de gastos al fondo o de funcionamiento sigue el procedimiento de Anlisis contable de causaciones y cuentas por pagar.
En la hoja de ruta si se trata de Resolucin de Giro. En la Relacin de rdenes de Pago si se trata de rdenes de pago, donde adicionalmente se revisa que estn como anexos los soportes requeridos, tales como: Cuentas de cobro, informe de actividades, facturas, planillas, actas de recibo de satisfaccin, certificaciones bancarias, etc. Para cada uno de los casos relacionar en el archivo de Excel Control de Ingreso, los campos: Fecha y hora de recepcin, nmero de resolucin Orden de Pago, Preparador asignado, oficina ordenadora del pago, moneda en que se pagar y programa que afecta el pago. Si se presenta alguna inconsistencia en la revisin y registro, se hace devolucin a la Oficina Ordenadora del Gasto para los respectivos ajustes copiando al Grupo de Presupuesto y Direccin de Contabilidad y registrando la novedad en el archivo de Control de Ingreso. 4.2 Entregar los documentos al Preparador de Pagos asignado, segn la tipologa del pago, el recurso a pagar y el tipo de moneda del pago.
Clasificar el recurso a pagar: Propios, TAE, Fondos y verificar que la cuenta a debitar posea los recursos disponibles. Aplicar la gua correspondiente, de acuerdo con la tipologa del pago: Cheques de Gerencia: Proceder de igual manera con lo descrito en la Gua G59. Transferencia Electrnica: Proceder de acuerdo con lo descrito en el numeral 5 de este documento. G61 Gua con Nota Dbito G63 Gua Tarjetas Recargables
4.7
5.
Preparador de Pagos / Grupo de Pagadura / Direccin de Tesorera 5.1 Llenar de forma manual el archivo plano de pagos denominado Archivo de Transferencias, segn la estructura tcnica de cada Banco, que se encuentra definido en el Grupo de Pagadura. Ingresar al Portal Bancario, identificndose con su usuario y dispositivo de seguridad asignado y cargar el archivo plano Archivo de Transferencias. Imprimir directamente del Portal Bancario el proceso de pagos definitivo, impresin que debe contener la siguiente informacin: Cuenta a debitar Icetex Nombre del destinatario de cada giro Identificacin del destinatario de cada giro Banco destino Nmero de cuenta destino Tipo de cuenta Valor a transferir
5.2
5.3
5.4
Verificar y asignar el punteo del proceso de pagos definitivo a un funcionario diferente al que Preparador de Pagos que lo elabor, el cual verifica el Archivo de Transferencias cargado en el Portal Bancario contra los soportes fsicos de cada pago.
5.5
Revisar los datos impresos del Portal Bancario frente a los soportes fsicos de cada giro (Resolucin de giro, Orden de Pago u otro documento soporte de la ordenacin del giro), validando que coincida: El nmero de identificacin del beneficiario Nmero y tipo de cuenta bancaria destino Entidad bancaria destino Valor del giro
5.6
Si se encuentra todo correcto, procede a firmar en seal de revisado, indicando fecha y nmero de registros verificados y novedades encontradas.
Coordinador de Pagadura / Grupo de Pagadura / Direccin de Tesorera 5.7 Asignar nmero de proceso mediante numerador y registrar en la Planilla de Control Planilla Pagos.xls", la siguiente informacin: Consecutivo, tema, fecha pago, Fecha reproceso, No. de registros, Valor, Usuario preparador, Recurso, Novedades, Banco a debitar, Respuesta y Funcionario que puntea. Ingresar al Portal Bancario a verificar que la cuenta seleccionada para el dbito de los recursos est correcta, la informacin generada se encuentre acorde con los soportes ya verificados y punteados y realiza la aprobacin del giro.
5.8
Director de Tesorera / Direccin de Tesorera 5.9 Ingresar al Portal Bancario correspondiente al pago preparado y verificar que los soportes recibidos tengan las firmas de quien realiz la preparacin en el portal, la verificacin de los registros y la firma del primer aprobador, valida el valor del lote en el portal contra el fsico, cantidad de registros y nombre del lote. De encontrar todo en orden, procede con la autorizacin final del proceso.
Preparador de Pagos / Grupo de Pagadura / Direccin de Tesorera 5.10 Confirmar en el Portal Bancario que las aprobaciones hayan sido efectivas y el proceso no se encuentra rechazado o declinado. 5.11 Generar y remitir va correo electrnico al funcionario encargado de digitacin, archivo de Excel denominado Formulacin, con los datos necesarios de los Giros realizados por la Entidad para desarrollar el Proceso de Digitacin, para publicar en la Pgina Web del Icetex. 5.12. Continuar Procedimiento Boletn de Tesorera. 5.13 Tres das hbiles despus de realizada la aprobacin de la transferencia, procede a ingresar al Portal Bancario por donde se realiz el pago y genera el archivo de respuestas que confirma las operaciones aprobadas y las rechazadas con su respectiva causal de no pago.
6.
RETORNO A LA NORMALIDAD Este procedimiento de contingencia podr retornar a la normalidad una vez confirme la Oficina de Riesgos la solucin del aplicativo Apoteosys, siendo necesario efectuar la actualizacin manual en dicho aplicativo de las actividades que se realizaron en contingencia, como son: Procedimiento de Giro
Preparador de Pagos / Grupo de Pagadura / Direccin de Tesorera 6.1 Rechazar en el sistema las rdenes de Pago y/o Resoluciones de Giros que se encuentran incorrectas o incompletas y fueron devueltas al Ordenador del Gasto. Si el pago a realizar corresponde a una Resolucin ACCES, ingresa al aplicativo financiero y confirma/ rechaza / aplaza las resoluciones de giro mediante la opcin CONT152P6 Confirmar Resoluciones con detalles por categora en Tesorera. Si se trata de una Resolucin diferente a ACCES, ingresar al aplicativo financiero y confirma/ rechaza / aplaza las Resoluciones mediante la opcin CONT152P2 Confirmacin Resoluciones en Tesorera. Si se trata de una Orden de Pago, ingresar al aplicativo financiero y autorizar mediante la opcin TES015P2 Autorizacin Financiera de Pagos, luego mediante la opcin TES017P1 Egresos, se confirma el proceso de pago y genera el Comprobante de Egreso. De ser necesario realizar anulacin de alguna Orden de Pago se ingresa a la opcin TES024P3 Anular documentos de pago.
6.2
6.3
6.4
6.5
6.6
Confirmar las Resoluciones por la opcin Confirmacin de Desembolsos de Resoluciones y las deja en estado de giro confirmado. Cargar Archivo de Respuestas en Apoteosys, aplicando los abonos confirmados y los rechazos, debe validar el soporte bancario antes de efectuar la aplicacin en Apoteosys con la causal respectiva. HISTORIA DEL DOCUMENTO FECHA 26/11/2012 OBSERVACIN Documento inicial
6.7
7.
VERSIN 1
CONTINGENCIA DEL PROCEDIMENTO SECRETARIA GENERAL Macroproceso: Gestin Documental Proceso: Gestin de Correspondencia
1. OBJETIVO
DE
CORRESPONDENCIA EXTERNA
Describir la contingencia del procedimiento de Correspondencia Externa, considerando los escenarios de causas de interrupcin, los contactos de personal y los recursos mnimos necesarios. 2. ALCANCE El documento cubre la contingencia de correspondencia externa, as: Correspondencia recibida: Va desde su recepcin en el punto de Correspondencia del Icetex en Bogot o en los Centros de Atencin Nacional (CAN) hasta su entrega al rea destino para su atencin. Correspondencia enviada: Su alcance inicia con la emisin del oficio en las reas del Icetex y culmina en la entrega del mismo al Operador de Servicio Postal.
3.
EVENTOS DE CONTINGENCIA
A continuacin se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupcin de la operacin:
3.1.2 El Coordinador del Grupo de Correspondencia activa la contingencia por Ausencia de personal y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad Tecnolgica la reasignacin de perfiles, a travs del formato F121 Formato asignacin de accesos a sistemas de informacin. 3.1.3 El Coordinador del Grupo de Correspondencia verifica la continuidad exitosa de los procesos.
3.3.1
3.3.1.1 El usuario comunica el evento al Coordinador del Grupo de Correspondencia. 3.3.1.2 El Coordinador del Grupo de Correspondencia informa la situacin presentada al Coordinador de Infraestructura de la Direccin de Tecnologa. 3.3.1.3 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de recuperacin al Jefe de la Oficina de Riesgos y al Director de Tecnologa. 3.3.1.4 Si el dao es importante, el Director de Tecnologa activa el plan de contingencia de tecnologa (servidores backup, sistemas de recuperacin de informacin, enlaces de comunicacin), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la Oficina de Riesgos, relacionada a continuacin:
3.3.2
Atencin Nacional (CAN), el incidente e indica las instrucciones para operar con el procedimiento de contingencia y mecanismo de comunicacin a utilizar. En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las contingencias estimadas: Contingencia Correspondencia externa recibida CAN Enviar escaneado el oficio recibido y remitirlo al correo electrnico
gdocumental2@icetex.gov.co y lmorales@icetex.gov.co
Suministrar por telfono datos del oficio para otorgar No. Radicacin
Correspondencia externa enviada Bogot CAN Entregar oficio al Informar por Grupo de correo Correspondencia electrnico para envo a su los datos destino bsicos del oficio para otorgar No. radicacin Suministrar por telfono datos del oficio para otorgar No. radicacin
Nota: Las comunicaciones que se gestionen dentro de los Centros de Atencin Nacional (CAN) tambin deben remitir los datos de la misma. De esta manera se asegura la adecuada gestin de la correspondencia externa, como lo exige el Acuerdo 060 del 2001 del Archivo General de la Nacin.
DESCRIPCION DEL PROCESO 3.3.2.1 CORRESPONDENCIA EXTERNA RECIBIDA Beneficiarios, proveedores, entidades y operadores de servicios postales 3.3.2.1.1Entregar documentacin al punto de Correspondencia del Icetex en Bogot o en los Centros de Atencin Nacional (CAN).
Tcnico Administrativo de Secretara General Grupo de Correspondencia / Outsourcing de Atencin al Cliente en Centro de Atencin Nacional (CAN) 3.3.2.1.2Recibir y verificar que el oficio contenga los documentos soportes (cuando aplique) y los datos bsicos que se requieren para radicacin. 3.3.2.1.3Estampar sello de recepcin del Icetex, colocar fecha, hora y firma de quien recibe el oficio. 3.3.2.1.4Escanear el (los) oficio(s) y documentos soportes (cuando aplique), si la falla es del sistema mercurio. 3.3.2.1.5Si el oficio es recibido en un Centro de Atencin Nacional (CAN), el Outsourcing de Atencin al Cliente informa del recibo del oficio al Grupo de Correspondencia Secretaria General a travs de correo electrnico, adjuntando la imagen escaneada. En caso de fallas en los dos sistemas se informa por telfono la recepcin del respectivo oficio con los datos bsicos al Grupo de Correspondencia. Funcionario Responsable de Secretaria General Grupo de Correspondencia 3.3.2.1.6Con el fin de determinar el nmero de radicacin a iniciar en contingencia, el funcionario responsable del Grupo de Correspondencia Secretaria General establece el ltimo nmero de radicacin que otorg el sistema mercurio emitido por esa rea y a ste le suma 30 nmeros consecutivos, en consideracin a que pudieron generarse nuevas radicaciones en otras reas o Centros de Atencin Nacional (CAN) posteriores a la asignada por el Grupo de Correspondencia, previo a la falla del sistema. 3.3.2.1.7Recibir oficio y diligenciar Ficha de Radicacin en el documento en Excel denominado Radicador Correspondencia Externa, el cual contiene los datos bsicos de la correspondencia. 3.3.2.1.8Guardar las imgenes de los oficios que se obtuvieron en el computador a su cargo, donde se mantendrn todas las comunicaciones dentro de la contingencia, otorgando como nombre el nmero de radicacin. 3.3.2.1.9Leer y analizar la comunicacin con el fin de identificar la ruta de destino del Oficio y distribuir as: Oficio a tramitar en los Centros de Atencin Nacional: Informar el nmero de radicacin a travs de correo electrnico y/o telfono. Oficio a tramitar en Bogot: Distribuir el oficio de manera fsica al Tcnico Administrativo del rea responsable de acuerdo con la gua de Distribucin de Correspondencia y
Preparacin y Envo de Tulas (se usa cuando el documento se traslada entre ciudades). Como evidencia de la entrega diligenciar y firma el formato de Excel denominado Correspondencia entregada. rea Destino 3.3.2.1.10 Recibir oficio, estampar sello como acuse de recibo y tramitar la solicitud respectiva. 3.3.2.1.11 Continuar con el procedimiento Administracin Archivos de Gestin. 3.3.2.2 CORRESPONDENCIA EXTERNA ENVIADA Funcionario responsable en cada rea / Centros de Atencin Nacional /Outsourcing de Atencin al Cliente 3.3.2.2.1De encontrarse en contingencia el sistema mercurio, escanear oficio(s) a enviar como correspondencia externa, el cual debe haber cumplido con el proceso de revisin, aprobacin y firma del Jefe o funcionario encargado y proceder a informar al funcionario responsable del Grupo de Correspondencia Secretaria General, indicando el envo del (los) oficio(s) para radicacin y adjuntando el (los) soporte(s) (cuando aplique), como lo indica la Tabla No. 1 Contingencia del Procedimiento de Correspondencia Externa
Funcionario responsable de Secretaria General Grupo de Correspondencia 3.3.2.2.2Sobre los oficios que se obtengan en original o escaneados se verifica que los documentos contengan los documentos indicados en el oficio y que se hallen los datos bsicos a requerir para radicacin. 3.3.2.2.3Diligenciar Ficha de Radicacin en el documento de Excel Radicador Correspondencia Externa, el cual contiene los datos bsicos del oficio. 3.3.2.2.4Guardar imagen de los oficios obtenidos en el computador, asignando como nombre el nmero de radicacin. 3.3.2.2.5Generar documentos y/o planillas para el Operador de Servicio Postal. 3.3.2.2.6Realizar gua de Alistamiento de Correspondencia y entrega al Operador de Servicios
3.3.2.3 CORRESPONDENCIA ENVIADA MASIVA Funcionario emisor 3.3.2.3.1Elaborar texto en Word, el cual es el mismo para todos los destinatarios de la correspondencia masiva. 3.3.2.3.2Generar archivo en Excel con la informacin y estructura definida para envo masivo. 3.3.2.3.3Solicitar al Grupo de Correspondencia Secretaria General la entrega de comunicaciones masivas, adjuntando los archivos del texto modelo en Word y el listado de remitentes en Excel. Funcionario Responsable de Secretaria General Grupo de Correspondencia 3.3.2.3.4Proceder de igual manera a los descritos en los numerales 3.3.2.2.3 al 3.3.2.2.6 de Correspondencia Externa Enviada. Recibir y verificar que los documentos contengan los documentos indicados en la comunicacin y que se hallen los datos bsicos que se requieren para radicacin. El Operador de Servicios Postales realiza la actividad de impresin de correspondencia masiva. Es de aclarar, que el rea solicitante debe enviar la firma autorizada digitalizada. 3.3.3.3 RETORNO A LA NORMALIDAD
Funcionario Responsable de Secretaria General Grupo de Correspondencia 3.3.3.3.1Una vez la Oficina de Riesgos informa la solucin del sistema mercurio, el funcionario responsable del Grupo de Correspondencia procede a identificar el ltimo nmero de radicacin asignado en contingencia. Coordinador de Grupo de Correspondencia- Secretaria General 3.3.3.3.2Informar a los usuarios de las reas y Centros de Atencin Nacional para que reanuden la operativa en este sistema, indicndoles el nmero de radicacin a iniciar en el sistema mercurio, que ser el prximo al asignado en contingencia. Funcionario Responsable de Secretaria General Grupo de Correspondencia
3.3.3.3.3Adjuntar en el sistema mercurio, el archivo de Excel Radicador de Correspondencia externa, el cual contiene las comunicaciones externas enviadas y recibidas durante la interrupcin. 3.3.3.3.4Verificar que exista coincidencia entre el nmero de radicacin otorgado en contingencia y el asignado en el sistema mercurio. 3.3.3.3.5Dado que la numeracin de radicacin en contingencia se inici desde un nmero que se desconoca si era certero, verificar si hubo nmeros que no fueron utilizados en el sistema; de ser as, emitir Acta de No Utilizacin de Nmeros de Radicacin, explicando que obedeci a un proceso de contingencia por interrupcin del sistema mercurio. 3.3.3.3.6Firmar Acta como funcionario responsable y entregar al Coordinador del Grupo de Correspondencia Secretaria General.
Coordinador de Grupo de Correspondencia Secretara General 3.3.3.3.7Revisar numeracin de radicacin no utilizada en el sistema mercurio y verificar que esta misma se encuentre relacionada en el Acta de No Utilizacin de Nmeros de Radicacin; si esta todo en orden, firmar el documento en seal de aceptacin.
CONTINGENCIA DEL PROCEDIMENTO DE CONSULTA DE ARCHIVO SECRETARIA GENERAL Macroproceso: Gestin Documental Proceso: Gestin de Archivo
1. OBJETIVO Describir la contingencia del procedimiento de Consulta de Archivo, considerando los escenarios de causas de interrupcin, los contactos de personal y proveedores. 2. EVENTOS DE CONTINGENCIA A continuacin se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupcin de la operacin: 2.1 CONTINGENCIA POR AUSENCIA DE PERSONAL Se presenta cuando el funcionario que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicacin: 2.1.1 El funcionario ausente activa la Cascada Telefnica y se comunica con el Coordinador del Grupo de Archivo de Secretaria General (Ver Planilla de Contactos Grupo de Archivo Secretaria General). 2.1.2 El Coordinador del Grupo de Archivo activa la contingencia por Ausencia de personal y de ser necesario comunica el evento al Jefe de Area. Distribuye procesos claves o asigna funciones al colaborador Back - up. De igual manera, si la labor lo requiere, solicita al Oficial de Seguridad Tecnolgica la reasignacin de perfiles, a travs del formato F121 Formato asignacin de accesos a sistemas de informacin. 2.1.3 El Coordinador del Grupo de Archivo confirma al Jefe del Area la continuidad exitosa de los procesos.
2.2
CONTINGENCIA DE LUGAR
2.2.1 El Jefe de Riesgos activa la cascada telefnica y comunica el evento de incidente mayor al Contacto de Departamento Primario Secretaria General, quien a su vez informa al funcionario de nivel 3 Coordinador del Grupo de Archivo del incidente ocurrido y las instrucciones de activacin de la contingencia de lugar. 2.2.2 El Coordinador del Grupo de Archivo contacta al equipo de recuperacin e informa el incidente ocurrido, solicitando el desplazamiento al Lugar alterno de trabajo. 2.2.3 El Coordinador del Grupo de Archivo informa al Jefe de Riesgos o su suplente que ocupar los puestos de trabajo en el Lugar alterno de trabajo. 2.2.4 En el Lugar alterno de trabajo, el Coordinador del Grupo de Archivo solicita el kit de contingencia (recursos de escritorio) y al personal clave que inicie la conectividad a los programas requeridos. 2.2.5 El Coordinador del Grupo de Archivo confirma al Jefe de Riesgos la correcta continuidad de los procesos. 2.2.6 El Jefe de Riesgos confirma la disponibilidad y funcionabilidad del sitio normal de trabajo. 2.2.7 El Coordinador del Grupo de Archivo devuelve el kit de contingencia para su custodia nuevamente. 2.2.8 El Coordinador del Grupo de Archivo comunica al personal coordina el desplazamiento al Sitio base de trabajo. 2.3 CONTINGENCIA POR FALLAS TECNOLOGICAS La contingencia se presenta cuando el hardware y/o software presenta fallas, o cuando haya interrupcin prolongada de telecomunicaciones. el Retorno a la normalidad y
2.3.1.3 El Coordinador de Infraestructura da respuesta sobre la gravedad del evento y tiempo de recuperacin al Jefe de la Oficina de Riesgos y al Director de Tecnologa. 2.3.1.4 Si el dao es importante, el Director de Tecnologa activa el plan de contingencia de tecnologa (servidores backup, sistemas de recuperacin de informacin, enlaces de comunicacin), de ser necesario se da inicio a la contingencia manual relacionada a continuacin:
2.3.2 Contingencia manual para el procedimiento de Consulta de Archivo ante fallas tecnolgicas
CONDICIONES GENERALES La Direccin de Tecnologa evala e informa a la Oficina de Riesgos, las fallas tecnolgicas que se presentan sobre los aplicativos mercurio y/o correo electrnico. Es de anotar que estos dos (2) sistemas se encuentran en servidores diferentes como estrategia tecnolgica al considerar el correo electrnico contingencia de comunicacin del sistema mercurio. En la siguiente tabla se ilustra las posibles situaciones de incidente del sistema y las contingencias estimadas: Falla en aplicativo de Mercurio Mercurio y electrnico Contingencia estimada Correo electrnico Solicitar a: Correo electrnico archivo@icetex.gov.co Outsourcing de Archivo Respuesta por: Correo electrnico del solicitante Bogot: Presencial Territoriales: Correspondencia
correo Telfono
La Oficina de Riesgos activa la contingencia cuando la recuperacin del (os) sistema(s) supera el Tiempo Objetivo de Recuperacin (RTO) del procedimiento de Consulta de Archivo. El Coordinador del Grupo de Archivo de Secretaria General informa a todas las reas y Centros de Atencin Nacional (CAN) el incidente e indica las instrucciones para operar con el procedimiento de contingencia y mecanismo de comunicacin a utilizar de acuerdo con la anterior tabla. A continuacin se describen los procedimientos a seguir en contingencia manual: 2.3.2.1 CONSULTA DE IMGENES
Funcionario autorizado del rea 2.3.2.1.1 Ante la necesidad de una copia de una imagen, el funcionario del rea solicitante utiliza el medio de comunicacin indicado por el Coordinador del Grupo de Archivo Secretaria General, las cuales son: Fallas en el sistema mercurio: Realice solicitud por correo electrnico al correo archivo@icetex.gov.co Fallas en los sistemas mercurio y correo electrnico: Realice solicitud por telfono al Outsourcing de Archivo. Los documentos que actualmente se encuentran digitalizados son ttulos valores y carpetas de beneficiarios, en caso de requerirse un documento diferente a esta tipologa, es necesario validarse previamente con el Coordinador del Grupo de Archivo. 2.3.2.1.2 La solicitud debe contemplar los siguientes datos: Tipo de documento a requerir Nombre y apellido del titular del documento No. de identificacin del titular del documento Outsourcing de Archivo 2.3.2.1.3 Recibir solicitud de copia de imgenes de documento (correo electrnico o va telefnica). 2.3.2.1.4 Registrar informacin en el formato Solicitud de Imgenes en Contingencia. 2.3.2.1.5 Buscar documento en la base de datos de consulta de archivo. 2.3.2.1.6 Enviar copia de la imagen al funcionario solicitante a travs de: Solicitud efectuada por correo electrnico: Enviar al correo electrnico del solicitante. Solicitud realizada por Telfono: Informar por telfono al funcionario solicitante acercarse a la Oficina del Outsourcing de Archivo a recoger copia de la imagen; en caso que el requerimiento sea de un Centro de Atencin Nacional, se remite por correo interno la copia de la imagen. Funcionario autorizado del rea 2.3.2.1.7 Recibir y visualizar copia de los documentos y resolver la consulta.
2.3.2.2
Funcionarios reas 2.3.2.2.1 Solicitar la ubicacin del mismo segn las instrucciones suministradas por el Coordinador del Grupo de Archivo, de acuerdo con la situacin presentada, pudiendo ser: Fallas en la aplicacin de mercurio: Emitir mensaje de solicitud de ubicacin del documento, dirigido al correo electrnico: archivo@icetex.gov.co. Fallas en los aplicativos de mercurio y correo electrnico: Consultar de forma personal. Outsourcing de Archivo 2.3.2.2.2 Recibir la solicitud de ubicacin del documento y proceder a buscarlo en la base de datos del sistema de consulta de archivo, efectuando radicacin en la Planilla de Prstamos. Dar respuesta de los documentos encontrados por la misma va que se solicit: Fallas en la aplicacin de mercurio: Emitir mensaje de respuesta de ubicacin del documento, dirigido al correo electrnico del funcionario solicitante. Fallas en los aplicativos de mercurio y correo electrnico: Responde de forma personal o por telfono al funcionario solicitante. 2.3.2.2.4 De no encontrarse la ubicacin del documento, emitir certificacin de no ubicacin del documento y dirigirla al Coordinador del Grupo de Archivo de Secretaria General, quien procede a contestar por comunicacin al rea solicitante.
2.3.2.2.3
Funcionarios de reas 2.3.2.2.5 2.3.2.2.6 Recibir respuesta con los datos de la ubicacin del documento solicitado. Diligenciar el formato Autorizacin de consulta al archivo (F228) y entregar dicho formato al Outsourcing de Archivo.
Outsourcing de Archivo
2.3.2.2.7
Recibir formato Autorizacin de consulta al archivo (F228) y ubicar documento en la base de datos del sistema de consulta de archivo. Notificar por va telefnica al funcionario solicitante de la ubicacin del documento. Diligenciar el formato Control de prstamos de unidades documentales o expedientes (F146).
2.3.2.2.8 2.3.2.2.9
2.3.2.2.10 Actualizar Base de Datos Prstamos Icetex, cambiando el estado del documento a Listo entrega. Funcionarios reas 2.3.2.2.11 Al recibir notificacin, acercarse al Outsourcing de Archivo a recoger documento y firmar como Recibido en el formato Control de prstamos de unidades documentales o expedientes (F146). 2.3.2.2.12 Utilizar el documento y resolver la consulta. 2.3.2.2.13 Devolver documento al Area de Prestamos de Archivo. Outsourcing de Archivo 2.3.2.2.14 Recibir el documento y actualizar el estado a Devuelto en la Base de Datos Prstamos Icetex. 2.3.2.2.15 Enviar el documento a custodia. 2.3.2.2.16 Recibir unidades de conservacin documental y archivar nuevamente. 2.3.2.2.17 Actualizar estado a Disponible en la Base de Datos Prstamos Icetex.
2.3.2.3.
RETORNO A LA NORMALIDAD
Coordinador Grupo de Archivo de Secretaria General 2.3.2.3.1 Una vez confirmado que la Oficina de Riesgos informa la solucin del incidente en los aplicativos de mercurio y/o correo electrnico, el Coordinador del Grupo de Archivo
informar a los usuarios de las reas y Centro de Atencin Nacional para que reanuden la operativa en este sistema. Outsourcing de Archivo 2.3.2.3.2 Actualizar el sistema mercurio con los prstamos de documentos fsicos, tomando como referencia la base de datos de Prstamos Icetex.
DE
SERVICIOS
PUBLICOS
Macro proceso: Gestin Administrativa y Apoyo Logstico Proceso: Servicios Generales y Apoyo Logstico
1.
OBJETIVO Describir la contingencia del procedimiento de Pago de Servicios Pblicos y Administraciones, considerando los escenarios que causan de interrupcin, los contactos de personal y los recursos mnimos necesarios.
2.
ALCANCE El documento cubre la contingencia de pago de servicios pblicos y administraciones urgentes de tramitar en un evento de interrupcin de la operacin.
3.
EVENTOS DE CONTINGENCIA
A continuacin se describen las acciones a seguir en los diferentes escenarios que pueden causar interrupcin de la operacin:
3.1.3 El Coordinador del Grupo de Administracin de Recursos Fsicos verifica la continuidad exitosa de los procesos.
3.2.8 El Coordinador del Grupo de Administracin de Recursos Fsicos comunica al personal crtico el Retorno a la normalidad y coordina el desplazamiento al Sitio base de trabajo.
3.3.1
3.3.1.5 El usuario comunica el evento al Coordinador del Grupo de Administracin de Recursos Fsicos. 3.3.1.6 El Coordinador del Grupo de Administracin de Recursos Fsicos informa la situacin presentada al Coordinador de Infraestructura de la Direccin de Tecnologa. 3.3.1.7 El Coordinador de Infraestructura emite respuesta sobre la gravedad del evento y tiempo de recuperacin al Jefe de la Oficina de Riesgos y al Director de Tecnologa. 3.3.1.8 Si el dao es importante, el Director de Tecnologa activa el plan de contingencia de tecnologa (servidores backup, sistemas de recuperacin de informacin, enlaces de comunicacin), de ser necesario se da inicio a la contingencia manual por parte del Jefe de la Oficina de Riesgos, relacionada a continuacin:
3.3.2
Contingencia manual para el procedimiento de pago de servicios pblicos y administraciones ante fallas tecnolgicas
CONDICIONES GENERALES La Oficina de Riesgos activa la contingencia cuando la recuperacin del sistema Apoteosys supera el tiempo objetivo de recuperacin (RTO) del procedimiento de Pago de Servicios Pblicos y de Administraciones. El Coordinador del Grupo de Administracin de Recursos Fsicos de Secretaria General procede a informar a su Grupo de Trabajo el incidente y dar instrucciones para operar con el procedimiento de contingencia. Para el desarrollo de este procedimiento se requiere el formato manual de Orden de Pago.
Tcnico / Secretaria General Grupo de Correspondencia / Lder Outsourcing / Puntos de Atencin Nacional
Para la recepcin de facturas de pago de servicios pblicos y administraciones de bienes inmuebles de la ciudad de Bogot, se realizan las actividades del procedimiento Correspondencia Externa. Para la recepcin de las facturas de pago de servicios pblicos y de administraciones de bienes inmuebles fuera de Bogot, se realizan las actividades de la Gua Preparacin y Envo de Tulas.
Tcnico / Secretaria General Grupo de Administracin de Recursos Fsicos 3.3.2.1 Recibir facturas de pago de servicios pblicos y administradores de bienes inmuebles y verificar que las mismas estn correctas. Si se llegara a presentar alguna inconsistencia se subsana comunicndose con la empresa prestadora del servicio.
3.3.2.2 3.3.2.3 Generar de forma manual la Orden de Pago de cada factura. Firmar la Orden de Pago en seal de elaborado y presentarla para su revisin y aprobacin al Aprobador y Ordenador del Gasto. Registrar en el libro control de rdenes de pago de la Secretaria General, cada una de las rdenes de pago que se entregan al Grupo de Presupuesto de la Vicepresidencia Financiera.
3.3.2.4
Continuar con las actividades de los procedimientos de Registro presupuestal de Obligaciones, Anlisis contable de causaciones y cuentas por pagar y Giro.
8.3
ANEXOS DE PROCEDIMIENTOS
7. Una vez instalados en el centro de operaciones alterno, realiza un chequeo del personal mnimo que se encuentra en el sitio, en caso de ser necesario llamar al personal suplente requerido. 8. Solicita el kit de contingencia (recursos de escritorio) y al personal crtico que inicie la conectividad a los programas requeridos. 9. Confirma al Director de Continuidad Alterno o su suplente la correcta continuidad de los procesos. Secretaria General (Lder Administracin Recuperacin Infraestructura Fsica) 10.Realiza una evaluacin del sitio alterno, para validar que los recursos requeridos se encuentren disponibles en el sitio. Director de Continuidad o Director de Continuidad Alterno 11. Solicita a los diferentes Coordinadores de Recuperacin un estado del evento y como ha transcurrido la operacin en contingencia, se debe de usar el formato de Activacin y Seguimiento de la Activacin (detallado en el numeral 8.5.5). 12. El Comit SARO SARLAFT analiza los resultados del estado de la contingencia y, procede a decidir: NO terminar la contingencia: Los equipos de recuperacin deben seguir ejecutando la operacin en contingencia. SI terminar la contingencia: Basado en la informacin suministrada por los Coordinadores y el anlisis realizado por los miembros del Comit, el Director de Continuidad decide terminar la contingencia, da la orden de activar el proceso de retorno, confirma la disponibilidad y funcionabilidad del sitio normal de trabajo y se informa a los diferentes equipos la decisin.
Coordinadores de recuperacin del negocio 13. Devuelve el kit de contingencia para su custodia nuevamente. 14. Comunicar al personal que particip en la contingencia, el Retorno a la normalidad y coordina el desplazamiento al Sitio base de trabajo.
8.3.2
Lder PCN de rea 2. Verifica si el mismo evento se le est presentando a otros colaboradores de la misma rea y si sus tareas afectan a otras dependencias, se debe validar con las mismas si el problema es general. Una vez tenga claridad sobre el evento que se est presentando y los colaboradores involucrados, debe clasificarlo teniendo en cuenta las siguientes definiciones para determinar si es un incidente o un problema: Incidente: Afecta puntualmente a una persona o grupo de personas. Problema: Afecta de manera general a todo el Icetex o a los clientes. 4. Ingresa en el aplicativo de reporte de incidencias del Instituto. Esto con el fin que la Direccin de Tecnologa pueda dejar reportado el evento en el Control de Incidentes. Enva al correo electrnico al Jefe de Riesgos y Coordinador de Infraestructura de la Direccin de Tecnologa e informa el incidente de PCN.
3.
5.
6.
Define la solucin al incidente (tiempo y estrategia de recuperacin) y da respuesta sobre la gravedad del evento y tiempo de recuperacin. Si el dao es importante, el Director de Tecnologa decide la activacin del plan de contingencia de tecnologa afectado (servidores backup, sistemas de recuperacin de informacin, enlaces de comunicacin), e informa al Director de Continuidad Alterno (Jefe de Riesgos).
Director de Continuidad Alterno (Jefe de Riesgos) 7. 8. Informa la situacin al Lder de PCN del rea afectada. Si el tiempo de recuperacin es menor al Tiempo Objetivo de Recuperacin (RTO) del proceso afectado deber esperar, de lo contrario declara la contingencia manual (cuando se cuente con sta), mientras se soluciona definitivamente el incidente o problema presentado.
Lder de PCN rea afectada 9. Desarrolla la estrategia manual (Ver anexo 8.2, que contiene las contingencias manuales estimadas).
Coordinador de Infraestructura Direccin de Tecnologa 10. Una vez solucionado el incidente o problema por parte de la Direccin de Tecnologa, informa al Director de Continuidad Alterno (Jefe de Riesgos) y al Lder PCN del rea afectada para que se levante la contingencia. Director de Continuidad Alterno (Jefe de Riesgos) 11. Solicita levantar la contingencia del incidente presentado y retorno a la normalidad. Lder PCN de rea 12. Asegura el retorno a la normalidad de las operaciones de acuerdo con el numeral de Retorno a la normalidad de la estrategia manual establecida, ejecuta las acciones que permitan que los clientes no se vean afectados en los procesos del rea, as como los reportes a entes reguladores.
13. Una vez se haya solucionado el incidente, diligencia el formato Reporte de incidente PCN (ver numeral 8.5.2), lo entrega al Jefe de la Oficina de Riesgos, con copia al Lder del Proceso responsable del rea afectada.
8.4 8.4.1
ANEXOS DE TABLAS
TIPOS DE AMENAZA
INSTALACIONES Fuego Explosin Cada e energa Dao de agua Prdida de acceso Falla mecnica
TECNOLOGICAS Huelgas Virus Epidemias Hacking Materiales peligrosos Prdida de datos Problemas de transporte Fallas de hardware Prdida de personal clave Fallas de software Motines Fallas en la red Protestas Sabotaje Vandalismo Bombas Violencia laboral Terrorismo Fallas en las lneas telefnicas
SOCIAL
OPERACIONALES Crisis financiera Prdida de suplidores Fallas en equipos Aspectos regulatorios Mala publicidad
8.4.2
TIPOS DE VULNERABILIDADES
VULNERABILIDAD
Falta de administracin del conocimiento Carencia de capacitacin y entrenamiento Insuficiencia capacidad de personas Inadecuada preparacin ante desastres Falta de seguridad laboral y salud ocupacional Falta de pertenencia a la entidad y cultura en continuidad Falta de segregacin de funciones Falla en la administracin de proveedores de servicios profesioales
FACTOR
FACTOR
VULNERABILIDAD
Carencia de planes de emergencia y administracin de crisis Exposicin a incendios e inundaciones Fallas de potencia electrica Construccin inadecuada de edificios y centros de cmputo Falta de controles medio ambientales Ubicacin del edificio Fallas en construccin de edificaciones bajo normas de sismo resistencia y control de impactos de afectacin fsica. Carencia de control de accesos en reas crticas restringidas. Carencia de definicin de planes de atencin y evacuacin ante conatos de incendio, amenazas de terrorismo, terremoto, o situaciones similares que ponen en riesgo las vidas humanas Controles predictivos, preventivos o correctivos de fallas relacionadas con aire acondicionado, suministro de energa y potencia elctrica requerida por equipos electrnicos o mecnicos. Control proactivo de suministro de elementos crticos como agua, indispensables para mantener condiciones higinicas dentro de las edificaciones, adems de equipos de control de temperatura y ambiente. Otros Falta de administracin Falta de controles medioambientales Falta de procedimientos alternos Dependencia entre procesos Falla en la gestin de calidad (disciplina de registro, comunicacin, documentacin, integracin, evaluacin) Limitaciones de capacidad Falta de definicin de acuerdos de nivel de servicio
Otros
Carencia de procesos de administracin de servicios de IT de informacin Falta de estrategias de disponibilidad Inadecuadas estrategias de recuperacin Falta de acuerdos de servicio conproveedores Puntos nicos de falla en la infraestructura de IT Alta dependencia de proveedores Inadecuado control, gestin y mantenimiento de servidores, bases de datos, redes, almacenamiento, aplicaciones y sistemas de informacin, informacin, archivos u operacin de usuarios. Falta o inadecuados procesos definidos e implementados para el soporte del servicio /administracin de incidentes, administracin de cambios, administracin de configuracin, administracin de Falta o inadecuados procesos definidos e implementados para la entrega del servicio (administracin de capacidad y desempeo, administracin de continuidad de tecnologa, administracin de acuerdos de niveles de servicios). Falla en el Inventario (stock) de componentes o partes crticas. Ausencia de sitios alternos de procesamiento. Inadecuada capacidad de enlaces de trasmisin y redundancia. Falta de pruebas de recuperacin y retorno, restauracin de cintas de respaldo. Falta de respaldos de datos (tipo, frecuencia, SW, poltica de respaldo de datos, rotulado y rotacin de cintas, ubicacin de cintotecas. Falta o falla de centros de custodias (distancia, frecuencia de recoleccin, convenios). Falla en Requerimiento a proveedores (contingencias, sitios alternos). Otros
INFRAESTRUCTURA TECNOLOGICA
PROCESOS
INFRAESTRUCTURA FISICA
PERSONAS
Falla en suministrar claridad en roles y responsabilidades relacionadas con las operaciones crticas
Falta o fallas en acuerdos de servicios medibles y confiables con proveedores Falta o fallas enla medicin de tiempos y cantidad de recursos crticos No se cuenta con jormadas de evacuacin del edificio
8.4.3
CRITERIOS DE FRECUENCIA
DEFINICION Baja probabilidad de ocurrencia; ha sucedido o se espera que suceda menos de una vez en 20 aos Limitada probabilidad de ocurrencia; sucede en forma espordica, una vez entre los 5 y los 20 aos. Mediana probabilidad de ocurrencia; sucede algunas veces, una vez entre 1 y los 5 aos. Significativa probabilidad de ocurrencia; sucede en forma reiterada, entre 1 vez y 10 veces al ao Alta probabilidad de ocurrencia; ocurre en forma seguida, mas de 10 veces al ao.
CASOS /AO Entre 0.00 y 0.05 Entre 0.05 y 0.2 Entre 0.2 y 1.0 Entre 1.0 y 10 Ms de 10
VALOR 1 2 3 4 5
8.4.4
CRITERIOS DE IMPACTO
No se presenta No afecta las problemas de instalaciones seguridad y salud fsicas para los empleados
El tiempo mximo en que el procedimiento Potencial por herida debe ser recuperado sin causar un impacto leve significativo al Instituto o al Servicio al Cliente Externo mayores a 48 horas hasta 7 das o el nmero de clientes externos afectados diariamente es mayor a 50 hasta 500.
Moderado
El tiempo mximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo mayores a 24 horas hasta 48 horas o el nmero de clientes externos afectados diariamente es mayor a 500 hasta 1000.
Herida que requiere tratamiento de hospital a ms de un miembro del personal. Reduccin del personal a nivel local. Heridas significativas.muert e potencial. Reduccin significativa de personal.
Importante
Suspende la A nivel sectorial operacin o genera / Entes de reprocesos mayores control. a un da hasta 2 das.
El tiempo mximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo mayores a 4 horas hasta 24 horas o el nmero de clientes externos afectados diariamente es mayor a 1000 hasta 5000.
Masivo
El tiempo mximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo es de 0 a 4 horas o el nmero de clientes externos afectados diariamente es mayor a 5000.
Muertes y/o afectacin total sobre las vidas del personal. Reduccin amplia del personal.
NOTA: Contiene las variables de impacto aplicadas en el Anlisis de Impacto del Negocio: Financiero, Proceso, Reputacional, Legal y de Servicio al Cliente Las variables de impacto de: Proceso y Reputacional, son las mismas que se definieron para la Administracin del Riesgo Operativo - SARO Las variables de : Impacto humano e Infraestructura fsica deben ser contempladas por el tema de continuidad El valor asociado y la calificacin son las mismas utilizadas para la administracin del riesgo operativo - SARO, iniciando desde la calificacin 1.
8.5 8.5.1
ANEXOS FORMATOS
FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA
Valoracin del BIA Procedimiento No. Nombre del Procedimiento Calificacin BIA Procedimiento 1 Procedimiento 2 Procedimiento 3 Procedimiento 4 Procedimiento 5 Procedimiento 6 Procedimiento 7 Procedimiento 8 Procedimiento 9 Procedimiento 10
Lder PCN Cargo Lder PCN OBSERVACIONES
Ir a Parmetros
ir a Cuestionario
Ir a Seccin Requerimientos
Ir a Instrucciones Cuestionario
Cuestionario BIA
Nombre del procedimiento (Llenado Autmtico)
Compruebe Dependencia Para ser llenado por PCN Impactos para ser analizados por el rea de Negocio/Apoyo
Este procedimiento proporciona informacin crtica para cualquier otro procedimiento (Por favor, indique "S" o "No")
Regulatorio/Legal Durante una interrupcin de las operaciones normales del procedimiento, 1 describa el plazo en el cual las sanciones por el incumplimiento podra superar los $170,000,000. Describa el periodo de tiempo dentro del cual el resultado de incumplimiento 2 dara lugar a Penalizaciones, sanciones, multas y/o Investigacin contra del Instituto. Financiero
3
Durante una interrupcin de las operaciones normales del procedimiento, describir el perodo en el que:
El Instituto podra perder una ganancia de ms de $170,000,000. El Instituto dejara de percibir ingresos, a travs de prstamos o productos que superan los $170,000,000.
Cul es el tiempo mximo en que el procedimiento debe ser recuperado sin causar un impacto significativo al Instituto o al Servicio al Cliente Externo? Nmero de clientes externos afectados diariamente Evalue el efecto del impacto reputacional en cuanto a las opiniones de los clientes, sectores educativo y financiero y/o el publico en general.
Reputacional
7
Procedimientos
8
Proveedores Describa la importancia de las actividades de sus proveedores externos en 9 sus procedimientos. Proveedores Crticos
10
Clasificacin Final Derivada BIA Tiempo Objetivo de Recuperacin (RTO) Valor del BIA
Describa el tiempo mximo tolerable que est dispuesto a perder de informacin de su procedimiento ante una interrupcin en los sistemas de informacin.
Aplicacin Critica - 2
Aplicacin Critica - 3
Aplicacin Critica - 4
Aplicacin Critica - 5
Telfono Interior
Impresora
Scanner
Calificacin BIA
Valoracin del BIA Tiempo Objetivo de Valor del BIA Recuperacin (RTO)
Proce dim ie nto 1 Proce dim ie nto 2 Proce dim ie nto 3 Proce dim ie nto 4 Proce dim ie nto 5 Proce dim ie nto 6 Proce dim ie nto 7 Proce dim ie nto 8 Proce dim ie nto 9 Proce dim ie nto 10
El resultado obtenido para cada uno de los procedimientos determina lo siguiente: * Calificacin BIA: Indica la sensibilidad de tiempo entre los niveles Misin Crtica a insignificante. Esto se deriva a travs de la realizacin del cuestionario BIA. Periodo mximo tolerable de interrupcin: El perodo de tiempo despus de una interrupcin, en el que el Instituto debe activar sus planes de contingencia y recuperacin de las actividades crticas para evitar un impacto significativo. Valor del BIA: Indica la criticidad del procedimiento basado en la Calificacin BIA y que impulsa el establecimiento de prioridades de recuperacin durante una situacin difcil. Conclusiones El BIA constituye un aporte fundamental para obtener la Estrategia para la Continuidad del Negocio. En funcin de la criticidad, una amplia gama de estrategias de Continuidad de Negocios se pueden implementar. Estas estrategias sern acordadas entre las reas de Negocio/Apoyo y el equipo de Plan de Continuidad de Negocio (PCN). De acuerdo con lo anterior, los procedimientos que se priorizan en la primera fase de revisin de las disposiciones del Plan de Continuidad de Negocios (PCN), sern los valores que aparecen en el BIA con valor <<Misin Critica>> y <<Masivo>> en el cuadro anterior. Firmas Detalles Jefe rea
Nombre
Firma
Lder BCP
8.5.2
Lecciones aprendidas
Revisado por:
8.5.3
CASCADA TELEFONICA
CASCADA TELEFONICA PCN
Rol
Nombre
Cargo
Tel Interno
Correo Electrnico
Celular Casa
CONTACTO PRINCIPAL
Contacto de Emergencia Primario para todas las reas de negocio Contacto de Departamento Primario Cascada Nivel 1 Cascada Nivel 2 Contactarn a los Coordinadores de su rea Cascada Nivel 3 Contactarn al personal de sus propios grupo de cascada. Personal Personal Personal Personal Personal
AREA
FECHA ACTUALIZACION
Proveedor Descripcin Proveedor Direccin Procedimiento Contacto Principal Telfono Oficina Telfono Movil Correo Contacto Alterno Telfono Oficina Telfono Movil Correo
Proveedor Descripcin Proveedor Direccin Procedimiento Contacto Principal Telfono Oficina Telfono Movil Correo Contacto Alterno Telfono Oficina Telfono Movil Correo
Proveedor Descripcin Proveedor Direccin Procedimiento Contacto Principal Telfono Oficina Telfono Movil Correo Contacto Alterno Telfono Oficina Telfono Movil Correo
8.5.4
ABCD
CONTROL DE PRUEBAS
Cdigo de Referencia de la prueba Fecha Programada (dd/mm/aa) Fecha de Ejecucin (dd/mm/aa) Tipo de prueba Responsables ESCRITORIO
OBJETIVOS
OBJETIVO GENERAL (Definir claramente lo que se quiere lograr con el desarrollo de la prueba)
1
OBJETIVOS ESPECFICOS (Enunciar las acciones y/o actividades a desarrollar para lograr el objetivo general de la prueba)
ALCANCE
Establecer los elementos que hacen parte del proceso o servicio objeto de la prueba.
ESCENARIO DE INTERRUPCIN
Describir las circunstancias y/o los eventos de interrupcin a considerar durante el desarrollo de la prueba con el fin de ambientar la situacin bajo la cual el plan de contingencia podra ser activado para
RESULTADOS ESPERADOS
4 Describir los productos (output) que se esperan obtener al finalizar la ejecucin de la prueba.
5 Se describe de manera general el procedimiento a llevar a cabo para el eficaz desarrollo de la prueba. (Orden del da)
Evaluadores
Riesgos
Identificar y describir los riesgos asociados a la ejecucin de la prueba. En la identificacin se deben tener en cuenta aspectos como: la afectacin del servicio, la imagen, las capacidades tcnicas, entre otros. Riesgo y/o Dificultades Impacto Accin Responsable
Completamente satisfactorio
Completamente satisfactorio
ABCD
ABCD
Fecha y/o hora inicio Estimada / Real Fecha y/o hora finalizacin Estimada / Real
PLANEACIN
Tiempo das
tem
Descripcin de la Actividad
Responsables
ABCD
ABCD
EJECUCIN
Recursos mnimos Fecha y/o hora Fecha y/o hora inicio finalizacin Das / Horas / Minutos Tiempo minutos
tem
Descripcin de la Actividad
Responsables
ABCD
ABCD
Fecha y/o hora Fecha y/o hora inicio finalizacin Das / Horas / Minutos
RETORNO
Tiempo
Responsables
Recursos mnimos
No aplica (N/A)
2 3
Fecha finalizacin y tiempo estimado 0
ABCD
ABCD
Cargo
Lugar de la prueba
Escritorio Por componentes Integrada Planeacin Ejecucin Retorno Evaluacin
Tipo de Integrante
(Seale con una X)
FIRMA
En la realizacin de las pruebas son muy importantes sus comentarios y recomendaciones. Estos ayudan a mejorar y actualizar el programa de continuidad de negocio. Por favor escoja la respuesta adecuada y suministre cualquier comentario adicional.
S Identific oportunidades de mejora en cuanto a la forma como fueron comunicadas las instrucciones para participar en la prueba? No
Si su respuesta anterior fue S, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer la definicin de las instrucciones y la forma como deben ser comunicadas a los participantes.
Fue suficientemente realista la prueba para validar la efectividad del plan y/o procedimientos contingentes? (Marque con una X)
Completamente en desacuerdo Completamente deacuerdo De acuerdo En desacuerdo
Identific oportunidades de mejora en cuanto al escenario definido para el desarrollo de la prueba y en cuanto a los recursos mnimos utilizados en la misma?
S No
Si su respuesta anterior fue S, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer y mejorar el escenario definido para el desarrollo y los recursos mnimos utilizados en el desarrollo de la misma.
Cuntos problemas y/o debilidades y/o aspectos por mejorar identific durante el desarrollo de la prueba?
De 1 a 2 De 3 a 4 De 5 a 6 Ms de 6 Ninguno
Por favor mencione los problemas y/o debilidades y/o aspectos por mejorar que identific:
4 Si identific problemas y/o debilidades y/o aspectos por mejorar por favor enuncie algunas recomendaciones para fortalecer dichos aspectos.
Si su respuesta anterior fue No o Parcialm ente , por favor describa las razones por las cuales ud. cree que no se alcanzaron satisfactoriamente los objetivos trazados para esta prueba.
Califique la efectividad de los procedimientos (Paso a Paso) establecidos en cada una de las etapas para llevar a cabo la prueba
con una X)
(Marque
Fase de planeacin
Poco efectivos Efectivos Medianamente Efectivos Satisfactorios Satisfactorios Efectivos
Fase de Ejecucin
Fase de Retorno
Poco Efectivos Poco
Efectivos
Efectivos
Efectivos
7 prueba?
Identific oportunidades de mejora en cuanto a la efectividad de los procedimientos (Paso a Paso) definidos para llevar a cabo la
Si su respuesta anterior fue S, por favor describa las oportunidades de mejora y/o los aspectos a tener en cuenta para fortalecer este tema.
S No
Cal es su calificacin general del desarrollo de la prueba respecto a los resultados obtenidos?
Completamente satisfactorio Adecuado
Insatisfactorio
8.5.5
FORMATO DE ACTIVACIN Y SEGUIMIENTO DE LA ACTIVACIN Activacin Retorno Finalizacin Hora Hora Hora DD/MM/AA DD/MM/AA DD/MM/AA
Activacin de los planes de: COMUNICACIN DE LA ACTIVACIN DEL PLAN Cargo El Presidente del Icetex Vicepresidente Financiero Vicepresidente de Fondos en Administracin Jefe de la Oficina Jurdica Jefe Oficina de Riesgos Jefe Oficina de Comunicaciones Informado No informado Secretaria General Secretaria General Vicepresidente de Crdito y Cobranza Director de Tecnologa Oficial de Cumplimiento Jefe de la Oficina Control Interno de Informado
No informado
FORMATO DE ACTIVACIN Y SEGUIMIENTO DE LA ACTIVACIN Observacin (describa la hora vs las actividades y/o decisiones tomadas Hora Actividad
8.6
ANEXOS RESULTADOS
Dependencia Vicepresidencia de Crdito y Cobranza Grupo de Crdito Grupo de Cartera Vicepresidencia de Fondos en Administracin Oficina de Relaciones Internacionales Oficina Comercial y Mercadeo Vicepresidencia Financiera
Area
Lder PCN Natalia Caycedo Mara Victoria Camargo Ofrey Marin Saenz
Diana Patricia Olaya Diana Carolina Gmez Luyfer Osorio Grupo de Presupuesto Jorge Nelson Gaitan Leon
Campo Elias Vaca Perilla William Barreto Andres Felipe Murillo Wilson Eduardo Pineda Jorge Nelson Gaitan Leon
Direccin de Contabilidad
Direccin de Tesorera Oficina Asesora Jurdica Direccin de Tecnologa Oficina Asesora de Comunicaciones Secretaria General Coordinadora Grupo de Contratos Coordinador Grupo de Archivo Coordinadora Grupo Talento Humano Coordinador Grupo Recursos Fsicos Oficina de Riesgos Oficial de Cumplimiento Oficina Asesora de Planeacin Oficina de Control Interno
Catalina Pea Jos Gmez Ricardo Corts Pardo Victor Raul Bautista Galindo Andres Mauricio Rivera Snchez Ingrid Marcela Garavito Gerardo Alonso Rodrguez Pineda Miryam Cardona Giraldo Gloria Nancy Mndez Ibaez Claudia Stella Corts Albornoz Claudia Stella Corts Albornoz Edgar Fabio Daz Ramrez Carlos Eduardo Cruz
Wilson Eduardo Pineda Ana Cecilia Arboleda Marn Campo Elias Vaca Perilla Francisco Pulido Fajardo Amanda Ramrez Mara Eugenia Mndez Munar
Jaime Eduardo Galvez Marquez Jaime Eduardo Galvez Marquez Rodrgo Fernando Acosta Trujillo Luz Alba Snchez Snchez
Los resultados indican que los procedimientos calificados en: Nivel 1AAA, Nivel 1AA, Nivel 1 y Nivel 2, cuyo tiempo objetivo de recuperacin (RTO) oscila entre 4 y 48 horas son considerados como crticos prioritarios para la Entidad, suman 32 procedimientos y es de vital importancia establecer la estrategia de continuidad para cada uno de estos procedimientos. Los restantes 102 procedimientos fueron calificados entre los niveles 3 al 6, lo que indica que permiten un tiempo mayor de recuperacin. Los procedimientos calificados como crticos son:
NIVEL
PROCEDIMIENTO Otorgamiento de becas colombianos en el exterior Otorgamiento de becas posgrados para extranjeros en Colombia Cierre de cartera Facturacin poca de estudios, perodo de gracia y amortizacin Base de datos Soporte a Infraestructura Atencin acciones de tutela Consulta de archivo Apoyo logstico Liquidacin de nmina Expedicin del certificado de disponibilidad presupuestal Anlisis contable con sus contrapartidas crticas Cierre contable mensual Aplicacin del modelo de referencia de cartera comercial Medicin, transmisin y seguimiento del VaR
Cumplimiento de operaciones de inversin Gestin de legalizacin y renovacin para aprobacin del desembolso Actualizacin de contenidos en la pgina Web Custodia de Garantas Suscripcin y legalizacin de contrato, convenio, ordenes de servicio y/o compra Gestin de correspondencia externa Registro presupuestal de compromisos Registro presupuestal de obligaciones Causaciones y cuentas por pagar Generacin de informacin exgena, elaboracin y transmisin de informacin Presentacin y pago de impuestos Giro Servicio a la deuda Gestin de incidentes de seguridad Gestin de vulnerabilidades Requerimientos Entes de Control Nivel 2 48 horas Masivo
TIEMPO OBJETIVO DE RECUPERACION PROCEDIMIENTOS PRIORITARIOS PARA LA ENTIDAD A continuacin se detalla los procedimientos crticos y sus necesidades de recursos, de acuerdo con la calificacin BIA obtenida: NIVEL 1 MASIVOS TIEMPO DE RECUPERACION MENOR A 24 HORAS A continuacin se detallan los procedimientos crticos que requieren de un tiempo de recuperacin menor a 24 horas y los recursos que se necesitan para operar:
RECURSO HUMANO
BIENES MUEBLES
RPO ESCANER PRINCIPALES APLICATIVOS REQUERIDOS
No.
PROCEDIMIENTO
RECURSO HUMANO
SI
SI
<=24 Horas
C&CETEX Cobol Internet Office Correo electrnico Apoteosys Apoteosys Apoteosys Apoteosys Apoteosys Apoteosys Office Internet Office Internet Mercurio Mercurio SGD V2.0 -MTI Pgina Web Correo electrnico Office
2 1 1 1 SI <= 24 horas
3 4 5 6 7
Registro presupuestal de compromisos Registro presupuestal de obligaciones Causaciones y cuentas por pagar Presentacin y pago de impuestos Generacin de informacin exgena, elaboracin y transmisin de informacin Giro
2 0 1 1 1
SI SI
<= 8 horas <= 24 horas <= 24 horas <= 24 horas <= 24 horas
8 2 1 1 SI SI <= 4 Horas
9 Servicio a la deuda 10 11 Custodia de garantias 12 Suscripcin y legalizacin de contrato, convenio, ordenes de servicio y/o compra Gestin de incidentes de seguridad 14 Gestion de vulnerabilidades 15 Requerimientos Entes de Control Total Requerimientos 2 26 3 2 21 1 10 SI SI <= 24 horas 1 1 SI <= 24 horas 1 3 1 1 SI <= 8 horas Gestion de correspondencia externa 1 1 SI SI <= 4 Horas
SI
SI
<= 4 Horas
SI
<= 4 Horas
13 1 1 1 SI <= 24 horas
Correo electrnico
Gestor de Vulnerabilidades MacAFFE C&CETEX Apoteosys Cobol
NIVEL 2 MASIVOS TIEMPO DE RECUPERACION 48 HORAS Con esta calificacin fueron evaluados quince (15) procedimientos, los cuales se detallan a continuacin con los recursos necesarios para operar:
No.
PROCEDIMIENTO
RPO
Otorgamiento de becas colombianos en el exterior Otorgamiento de becas posgrados para extranjeros en Colombia Cierre de cartera Facturacin epoca de estudios, perodo de gracia y amortizacin Atencin acciones de tutela Expedicin del certificado de disponibilidad presupuestal Anlisis contable con sus contrapartidas crticas Cierre contable mensual
SI
<= 4 Horas
Bizagi C&CETEX Fox-Pro Bizagi Apoteosys Correo electrnico C&CETEX Apoteosys Correo electrnico C&CETEX Correo electrnico Office Mercurio C&CETEX Correo electrnico Apoteosys Correo electrnico Office Apoteosys Correo electrnico Apoteosys C&CETEX Correo electrnico Mercurio SGD V2.0 -MTI Correo electrnico Queryx SRH Correo electrnico Office Office Apotesoys Correo electrnico Oracle TOAD
> 30 das
<= 24 horas
<= 24 horas
SI
SI
<= 24 horas
SI
<= 8 horas
<= 24 horas
SI
<= 24 horas
Consulta de archivo
SI
<= 8 horas
10
Liquidacin de nmina
SI
> 30 das
11
Apoyo logstico
SI
<= 48 horas
12
Base de datos
<= 24 horas
13
Soporte Infraestructura Aplicacin del modelo de referencia de cartera comercial Medicin, transmisin y seguimiento del VaR
Total Requerimientos
<= 48 horas
Correo electrnico
14
<= 24 horas
15
1 19 11
1 20 8
<= 24 horas
RESUMEN DE INFRAESTRUCTURA REQUERIDA Durante la actividad BIA se identifica la infraestructura requerida para el desarrollo de todos y cada uno de los procedimientos y especialmente los crticos, lo que permite enfocar los esfuerzos de prevencin y recuperacin sobre los elementos crticos de la infraestructura.
En la siguiente tabla se desprende la sntesis de los recursos requeridos en contingencia, clasificados por Calificacin BIA, con el fin de dimensionar las necesidades de infraestructura de acuerdo con el apetito al riesgo para el PCN de estos procesos ante un evento de interrupcin desde un sitio alterno:
RECURSOS POR NIVELES DE CALIFICACION BIA TOTALES POR NIVELES DE CALIFICACION BIA RECURSO HUMANO RECURSO RECURSO HUMANO HUMANO DE OUTSOURCING BIENES MUEBLES COMPUTADOR TELEFONO IMPRESORA ESCANER
NIVEL N - 1AAA 4 horas Misin crtica N - 1AA 8 horas Misin crtica N - 1A 24 horas Masivo / alto Nivel 2 48 horas Masivo / alto Nivel 3 7 das Medio Nivel 4 14 das Medio Nivel 5 30 das Bajo Nivel 6 > 30 das Insignificante
24
19
12
32
10
26
18
19
21
51
18
47
27
20
681
18
71
699
65
34
10
11
10
81
710
75
38
12
12
93
713
87
40
14 107
0 713
14 101
3 43
0 5
0 3
107
713
101
43
Resumen de Infraestructura requerida Dado que se encuentra clasificado por niveles de prioridad de los procedimientos para continuidad, es posible tomar distintas decisiones del alcance del PCN. De acuerdo con el propsito de tener estrategia de continuidad bajo el escenario de Interrupcin de Lugar para los 32 procedimientos calificados como crticos (cuyo tiempo objetivo de recuperacin comprende de 4 a 48 horas), es necesario operar con:
51 puestos de trabajo para ese mismo nmero de colaboradores 5 impresoras 47 computadores 3 escneres 27 telfonos
PUNTO OBJETIVO DE RECUPERACION RPO El cuestionario BIA midi el tiempo tolerable en que la Entidad est dispuesta a perder de informacin ante una interrupcin en la tecnologa de informacin por fallas. Los resultados arrojados son los siguientes:
MERCURIO APOTEOSYS
Los restantes 34 procedimientos fueron evaluados para un RPO mayor a 24 horas. Actualmente el Icetex realiza backups de la informacin a los aplicativos con una frecuencia de cada 24 horas. Como se aprecia en el cuadro, el Grupo de Trabajo de PCN en un 50% considera adecuado la proteccin de datos cada 24 horas y en un 25% hasta puede superar la periodicidad de proteccin de ese tiempo; la diferencia del 25% requiere backup con frecuencia inferior al da. Esta informacin es significativa para la Entidad para el establecimiento de estrategias y polticas de backup de la informacin. APLICATIVOS CRITICOS Con la informacin de los Requerimientos Tecnolgicos se logr establecer la criticidad de los aplicativos de acuerdo con el uso en los procedimientos, resultado que permite confirmar la necesidad de mantener una adecuada poltica de proteccin de los datos de los aplicativos y su contingencia siendo el resultado el siguiente:
UTILIZACION DE LOS APLICATIVOS EN LOS PROCEDIMIENTOS Aplicativo PAGINA WEB Procedimientos Observaciones
CORREO ELECTRONICO C&CETEX OFFICE APOTEOSYS INTERNET MERCURIO COBOL IG METRICA BIZAGI
12 Durante el perodo 14/05/2012 16/07/2012 se realizaron 2.598.956 visitas a la Pgina Web del Icetex, efectuada por 1.265.725 usuarios (promedio de 2 visitas por usuario). 102 56 47 32 25 12 9 6 5