manual continuidad negocio
TRANSCRIPT
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 1 de 123
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS
INSTITUTO COLOMBIANO DE CRDITO EDUCATIVO Y ESTUDIOS TCNICOS EN EL EXTERIOR - ICETEX
Mayo de 2013
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 2 de 123
Contenido
1 INTRODUCCION 4
2 OBJETIVOS 4
2.1 OBJETIVO GENERAL 4
2.2 OBJETIVOS ESPECIFICOS 4
3 ALCANCE 5
4 CONCEPTOS BASICOS 5
5 CAUSAS DE INTERRUPCION 7
6 GOBIERNO DE CONTINUIDAD 8
6.1 LINEAMIENTOS 8
6.2 NORMAS EXTERNAS 9
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10 6.3.1 COMITE SARO - SARLAFT 10 6.3.2 LIDERES PCN 14 6.3.3 OFICINA DE RIESGOS 15
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15
6.5 ENTRENAMIENTO 15
7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17
7.1 FASE DE PREVENCION 17 7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 17 7.1.2 ETAPA DE ANALISIS DE RIESGOS 23 7.1.3 ETAPA DE ESTRATEGIA 30 7.1.4 ETAPA DE PRUEBAS 34 7.1.5 ETAPA DE MANTENIMIENTO 37
7.2 FASE DE ADMINISTRACION DE CRISIS 38 7.2.1 CONCEPTO 38 7.2.2 OBJETIVOS 38
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 3 de 123
7.2.3 ALCANCE 38
8 ANEXOS 39
8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39
8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51
8.3 ANEXOS DE PROCEDIMIENTOS 93 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 93 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 95
8.4 ANEXOS DE TABLAS 98 8.4.1 TIPOS DE AMENAZA 98 8.4.2 TIPOS DE VULNERABILIDADES 99 8.4.3 CRITERIOS DE FRECUENCIA 100 8.4.4 CRITERIOS DE IMPACTO 101
8.5 ANEXOS FORMATOS 102 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 102 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 106 8.5.3 CASCADA TELEFONICA 107 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 109 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 116
8.6 ANEXOS RESULTADOS 117 8.6.1 EQUIPO DE TRABAJO DEL PCN 117
117 8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO BIA 118
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 4 de 123
1 INTRODUCCION
El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un
incidente o desastre que afecte la operacin, como tambin la necesidad de recuperarse en el
menor tiempo posible, garantizando la continuidad del instituto.
La Administracin del Plan de Continuidad de Negocios es la poltica que el Icetex implementa,
para responder organizadamente a eventos que interrumpen la normal operacin de sus
procesos y que pueden generar impactos sensibles en el logro de los objetivos.
El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad
de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte
del Sistema de Gestin de Riesgo Operativo, ofreciendo como elementos de control la
prevencin y atencin de emergencias, administracin de la crisis, planes de contingencia y
capacidad de retorno a la operacin normal.
2 OBJETIVOS
2.1 OBJETIVO GENERAL
Asegurar que el Icetex est preparado para responder a emergencias, recuperarse de ellas y
mitigar los impactos ocasionados, permitiendo la continuidad de los servicios crticos para la
atencin de clientes y la operacin.
2.2 OBJETIVOS ESPECIFICOS
Lograr un nivel de preparacin frente a incidentes que permita asegurar que puede proteger la
integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena
administracin de la crisis.
Minimizar la frecuencia de interrupciones de la operacin de los procesos del negocio.
Asegurar una pronta restauracin de las operaciones afectadas por el evento.
Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 5 de 123
Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera
de Colombia.
3 ALCANCE
La Administracin del Plan de Continuidad de Negocios es una disciplina que prepara a la
organizacin para poder continuar operando durante un incidente o desastre, a travs de la
implementacin de un plan de continuidad, el cual contempla los lineamientos de administracin
de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las
metodologas definidas por el Icetex para su ejecucin, como tambin el desarrollo de los planes
de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad.
De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades
con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad
fsica de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los
mecanismos de proteccin y seguridad, Manual de gestin de la comunicacin en situaciones de
crisis y los dems sistemas de gestin.
4 CONCEPTOS BASICOS
Administracin del Plan de Continuidad de Negocios: Es un sistema administrativo integrado,
transversal a toda la organizacin, que permite mantener alineados y vigentes todas las
iniciativas, estrategias, planes de respuesta y dems componentes y actores de la continuidad
del negocio.
Busca mantener la viabilidad antes, durante y despus de una interrupcin de cualquier tipo.
Abarca las personas, procesos de negocios, tecnologa e infraestructura.
Incidente de Trabajo: Es un evento que no es parte de la operacin estndar de un servicio y el
cual puede causar interrupcin o reduccin en la calidad del servicio y en la productividad.
Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o
ms de los procesos de negocio. El tiempo de la interrupcin determina que una situacin sea un
incidente o un desastre.
Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones especficas de un sistema o proceso.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 6 de 123
Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operacin, en caso de interrupcin1.
Plan de Recuperacin de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnologa (red, servidores, hardware y software) despus de haber sufrido una
afectacin por un incidente o catstrofe de cualquier tipo, el cual atente contra la continuidad del
negocio.
Anlisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de
recuperacin de cada rea, determinando el impacto en caso de interrupcin.
Disponibilidad: La informacin debe estar en el momento y en el formato que se requiera ahora
y en el futuro, igual que los recursos necesarios para su uso2.
Amenaza: Persona, situacin o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catstrofe o interrupcin. Ejemplos: inundacin, incendio, robo de datos.
Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser
causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los
intereses de la Institucin. Ejemplos: Deficiente control de accesos, poco control de versiones de
software, entre otros.
Riesgo: Es la probabilidad de materializacin de una amenaza por la existencia de una o varias
vulnerabilidades con impactos adversos resultantes para la Entidad.
Frecuencia: Estimacin de ocurrencia de un evento en un perodo de tiempo determinado. Los
factores a tener en cuenta para su estimacin son la fuente de la amenaza y su capacidad y la
naturaleza de la vulnerabilidad.
Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicacin del
riesgo se mide en aspectos econmicos, imagen reputacional, disminucin de capacidad de
respuesta y competitividad, interrupcin de las operaciones, consecuencias legales y afectacin
1 Concepto tomado del Captulo XXIII Reglas relativas a la administracin del riesgo operativo de la Circular
Bsica Contable de la Superfinanciera. 2 Concepto tomado del Captulo XII Requerimientos mnimos de seguridad y calidad en el manejo de
informacin a travs de medios y canales de distribucin de productos y servicios- Ttulo I de la Circular Bsica Jurdica de la Superfinanciera.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 7 de 123
fsica a personas. Mide el nivel de degradacin de uno de los siguientes elementos de
continuidad: Confiabilidad, disponibilidad y recuperabilidad.
Control: Es el proceso, poltica, dispositivo, prctica u otra accin existente que acta para
minimizar el riesgo o potenciar oportunidades positivas.
Riesgo inherente: Es el clculo del dao probable a un activo de encontrarse desprotegido, sin
controles.
Riesgo residual: Riesgo remanente tras la aplicacin de controles.
5 CAUSAS DE INTERRUPCION
Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones
y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten.
Estas se pueden unificar en los siguientes escenarios:
Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el
proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.
No acceso al sitio normal de trabajo: Se presenta cuando por algn evento como desastre
natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre
otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades
propias de su cargo. En este caso y con el nimo de no interrumpir la operacin del proceso
crtico se debe contar con un sitio alterno de trabajo, el cual puede ser:
Suministrado por la Entidad, Ejemplo: Otra sede.
Suministrado por un proveedor, contratista o aliado estratgico.
Cada de los sistemas tecnolgicos: Se presenta cuando el hardware y/o software presenta
falla(s) o cuando haya interrupcin prolongada de las comunicaciones, ocasionados por: datos
corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del
proceso crtico son realizadas por el proveedor y cualquier falla de ste, generara la no
realizacin efectiva del proceso. En este caso se debe garantizar que en el contrato con el
proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado,
adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el
Icetex.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 8 de 123
6 GOBIERNO DE CONTINUIDAD
6.1 LINEAMIENTOS
El objetivo de la administracin de continuidad del negocio es planificar las acciones necesarias
para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se
declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mnimo su
impacto sobre el negocio.
Los lineamientos se sustentan en un conjunto de principios que han sido formulados basndose
en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:
El plan de continuidad de negocio est orientado a la proteccin de las personas, as como al
restablecimiento oportuno de los procesos, servicios crticos e infraestructura, frente a eventos
de interrupcin o desastre.
Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos
definidos y conocer claramente los roles y responsabilidades que le competen en el marco de
la continuidad del negocio, mediante labores peridicas de formacin, divulgacin y prueba de
los Planes de Contingencia del Negocio.
En caso de presentarse un incidente significativo se deben aplicar los mecanismos de
comunicacin apropiados, tanto internos como externos, de acuerdo con el manual de
Comunicacin en Situaciones de Crisis.
Las etapas de la Administracin de PCN deben ser ejecutadas por cada una de las reas de
la Entidad, con la gua y coordinacin de la Oficina de Riesgos.
Los Jefes de rea deben designar un Lder de Plan de Continuidad del Negocio, quien es
responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios
para el rea que representa.
Las diferentes etapas que conforman la fase de Prevencin deben ser ejecutadas con la
siguiente frecuencia:
o El anlisis de impacto del negocio debe actualizarse cada dos (2) aos o cada vez que un
Lder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus
necesidades.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 9 de 123
o El monitoreo a los riesgos de continuidad se efectuar de manera semestral.
o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas.
o Las estrategias se revisarn cada vez que el Lder del Proceso lo considere o como
resultado del anlisis de riesgos se determine el ajuste o implementacin de estrategias de
contingencia.
Los procesos crticos deben ser recuperados dentro de los mrgenes de tiempo requeridos en
los Planes de Continuidad del Negocio.
La Entidad ha definido como el nivel mximo de aceptacin del riesgo residual, la clasificacin de Tolerable.
Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben
disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe
solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizar la cobertura
del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los
servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos
debe coordinar con el rea responsable del contrato la ejecucin de pruebas a dicho plan.
Los planes de contingencia deben mantenerse actualizados, para lo cual se deben
desarrollar, probar y de ser necesario mejorar de forma peridica o ante cambios significativos
en polticas, personas, proceso, tecnologa; siendo necesario que en dicha revisin participen
las reas involucradas.
6.2 NORMAS EXTERNAS
La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se
normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un
Plan de Continuidad de Negocios, que cumplan con los siguientes elementos:
Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un
proceso para administrar la continuidad del negocio que incluya la prevencin y atencin de
emergencias, administracin de la crisis, planes de contingencia y capacidad de retorno a la
operacin normal.
Circular 038/2009 Sistema de Control Interno: Implementar, probar y mantener un
proceso para administrar la continuidad de la operacin de la entidad para responder a las
fallas e interrupciones especficas de un sistema o proceso y capacidad de retorno a la
normalidad.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 10 de 123
Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y
continuidad debidamente documentados. Las entidades debern verificar que los planes, en
lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
Adems, existen metodologas del Plan de Continuidad del Negocio fundamentado en el uso de
buenas prcticas reconocidas y normas internacionalmente aprobadas basadas en la gestin de
riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e
ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboracin de este
documento.
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO
Para asegurar una adecuada administracin de la continuidad del negocio se estableci un
estructura, que incluye la definicin de los roles y responsabilidades, tanto de los Lderes de
Proceso, como de la Alta Gerencia. Esa administracin est conformada por:
6.3.1 COMITE SARO - SARLAFT
La gestin de la continuidad de negocio requiere de una estructura organizacional, encargada de
promover el desarrollo de los lineamientos definidos en este captulo. Dado que el Comit SARO
SARLAFT realiza el monitoreo a la gestin del Sistema de Riesgo Operativo, tambin es
responsable de administrar la continuidad de la operacin del Instituto. A continuacin se
mencionan los integrantes del comit, su rol y responsabilidad frente a este item:
COMIT SARO SARLAFT ROLES DE CONTINGENCIA
Presidente del Icetex o su delegado, quien presidir el Comit Director de Continuidad
Jefe de Riesgos Director Alterno de Continuidad
Secretaria General Lder de Administracin /Recuperacin
Infraestructura Fsica
Director de Tecnologa Lder de Recuperacin Tecnolgica
Vicepresidente Financiero Coordinadores de Recuperacin
Vicepresidente de Crdito y Cobranza
Vicepresidente de Fondos en Administracin
Jefe de Control Interno Tareas de apoyo, control y
cumplimiento
Jefe Oficina Asesora Jurdica
Oficial de Cumplimiento
Coordinador de Riesgos de Crdito y Operativo
Jefe oficina Asesora de Comunicaciones (Su participacin
ser por solicitud del Comit SARO-SARLAFT)
Asesor de Comunicaciones
Roles de Miembros de Comit SARO - SARLAFT
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 11 de 123
En caso en que el Comit active el plan de continuidad, podr invitar a otros funcionarios
responsables de actividades que impacten la operacin del negocio, caso la Oficina Asesora de
Comunicaciones.
A) ROLES Y RESPONSABILIDADES
A continuacin se describen los roles y responsabilidades de los integrantes del Comit en lo
respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus
suplentes (alternos) tienen las mismas responsabilidades.
Director de Continuidad El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de
continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de
interrupcin de lugar de trabajo, con base en las decisiones tomadas por el Comit SARO-
SARLAFT o en situaciones donde amerite realizar su activacin inmediata.
Responsabilidades
Delegar de manera expresa en el Comit SARO- SARLAFT, la responsabilidad de
actualizar, mantener y probar el plan de continuidad.
Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperacin y contingencia de la entidad.
Liderar las reuniones del Comit SARO SARLAFT.
Advertir sobre nuevos riesgos que afectan la continuidad de la operacin normal de la
entidad y que ponen al descubierto debilidades del plan de continuidad.
Monitorear los reportes sobre el estado de recuperacin o evaluacin durante una
contingencia.
Velar por la seguridad del personal que acta en el rea del evento.
Establecer los objetivos de recuperacin y activar el plan de continuidad ante el escenario
de interrupcin de lugar teniendo en cuenta el resultado de la evaluacin
Velar por la ejecucin del debido anlisis causa raz del evento que ocasion la
contingencia.
Director Alterno de Continuidad
Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando ste
no se encuentre disponible.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 12 de 123
Es responsable de declarar la contingencia ante un incidente tecnolgico de algn
aplicativo (contingencia especfica), con base en el anlisis realizado por la Direccin de
Tecnologa.
Realizar las actividades que le sean asignadas por el Director de Continuidad.
Lder Administrativo El Lder Administrativo ayuda a coordinar los aspectos logsticos internos cuando la Entidad
se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las
instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la
operacin.
Responsabilidades
Coordinar el suministro de elementos esenciales como transporte, recursos de
infraestructura y papelera.
Gestionar la consecucin y adecuacin de los centros alternos de operaciones segn el
plan de operaciones en contingencia.
Mantener informado al Comit SARO-SARLAFT sobre incidentes por falta de suministros.
Lder de Recuperacin Tecnolgica Es la persona encargada de liderar la recuperacin tecnolgica, basados en las estrategias de
continuidad implementadas. Es el contacto directo entre la Direccin de Tecnologa y el
Comit SARO - SARLAFT; adems, apoya las decisiones tomadas por el Director de
Continuidad durante la declaracin y activacin de la contingencia.
Responsabilidades
Liderar la recuperacin tecnolgica, basados en las estrategias de continuidad
implementadas.
Identificar los posibles riesgos de aspectos tecnolgicos que afectan la continuidad de la
operacin normal de la Entidad y que ponen al descubierto debilidades del plan de
continuidad.
Mantener comunicacin constante entre Coordinadores de Recuperacin del Negocio
durante el estado de contingencia.
Colaborar en la comunicacin a los proveedores de los temas o servicios de su
competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa
decisin y autorizacin del Director de Continuidad, mediante comunicado elaborado en
conjunto con la Oficina Asesora de Comunicaciones.
Entregar los reportes correspondientes al Comit SARO-SARLAFT sobre el estado de la
recuperacin.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 13 de 123
Velar por la actualizacin de la Estrategia Tecnolgica en los casos que se presenten
situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y
responsabilidades, disponibilidad de los recursos, entre otros.
Velar por la realizacin de las pruebas del plan de continuidad y revisar los resultados
obtenidos en las mismas.
Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Coordinadores de Recuperacin Los Coordinadores de Recuperacin son personas encargadas de liderar la recuperacin de
procesos de negocio crticos, basados en las estrategias de contingencia. Son el contacto
directo entre los procesos de negocio y el Comit SARO-SARLAFT; adems, colaboran con
las decisiones tomadas por el Director de Continuidad y el Comit SARO-SARLFT durante la
declaracin y activacin de la contingencia.
Responsabilidades
Liderar las reuniones del equipo de recuperacin, para diagnosticar y evaluar las
interrupciones que estn afectando la prestacin del servicio.
Ejecutar los planes de contingencia ante el incidente presentado.
Identificar los posibles riesgos que afectan la continuidad de la operacin normal de la
Entidad y que ponen al descubierto debilidades del plan de continuidad.
Mantener comunicacin constante durante el estado de contingencia.
Colaborar en la comunicacin a los proveedores sobre el estado de contingencia en que se
encuentra la Entidad, esto previa decisin y autorizacin del Director de Continuidad,
mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.
Entregar los reportes correspondientes al Comit SARO-SARLAFT sobre el estado de la
recuperacin de sus reas.
Velar por la realizacin de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Responsable de tareas de apoyo, control y cumplimiento Responsabilidades
Realizar las actividades que le sean asignadas durante la declaracin de contingencia.
Advertir sobre riesgos que puedan afectar la continuidad en la prestacin del servicio o la
funcionalidad del plan.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 14 de 123
Asesor de Comunicaciones El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar
en la comunicacin del evento de interrupcin a nivel interno (colaboradores) y a nivel externo
(clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual
de gestin de la comunicacin en situaciones de crisis.
Responsabilidades
Asesorar al Comit SARO-SARLAFT y especficamente al Director de Continuidad en
temas de comunicacin en momentos de crisis.
B) LINEA DE SUCESION
Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus
alternos en caso de que estos no puedan asumir las actividades y/o tareas.
CARGO PRINCIPAL CARGO ALTERNO
Presidente del Icetex o su delegado, quien presidir el Comit
Jefe de Riesgos
Jefe de Riesgos Director de Tecnologa
Secretaria General Asesor Tcnico de Secretaria General
Director de Tecnologa Coordinador de Infraestructura
Vicepresidente Financiero Director de Contabilidad
Vicepresidente de Crdito y Cobranza Director de Cobranzas
Vicepresidente de Fondos en Administracin Analista de Vicepresidente de Fondos en Administracin
Jefe de Control Interno Coordinador de la Oficina de Control Interno
Jefe Oficina Asesora Jurdica Analista de Oficina Asesora Jurdica
Oficial de Cumplimiento Coordinador de Riesgos de Crdito y Operativo
Coordinador de Riesgos de Crdito y Operativo
Analista de Plan de Continuidad de Negocios
Lnea de sucesin
6.3.2 LIDERES PCN
Cada rea cuenta con un Lder de PCN, quien tiene las siguientes responsabilidades en la
administracin del plan de continuidad sobre los procesos / procedimientos a cargo:
Actuar como punto focal del rea para todos los asuntos de continuidad del negocio.
Cumplir con las actividades y fechas establecidas del Cronograma de PCN.
Mantener informados a todos los colaboradores de sus respectivas reas, los planes de
contingencia que les compete.
Asegurar la aplicacin correcta de los PCN al interior del rea.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 15 de 123
Revisar el impacto en el rea durante el incidente.
Mantener actualizados los documentos de PCN del rea (BIA, Estrategia de Recuperacin,
Cascada telefnica, Anlisis de Riesgos. etc).
En el Anexo No. 8.6.1 se encuentra la Relacin de los Lderes de PCN y Lderes de Proceso
del Icetex.
6.3.3 OFICINA DE RIESGOS
La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad:
Definir e implementar los instrumentos, metodologas y procedimientos tendientes a
gestionar efectivamente el PCN.
Suministrar los programas de capacitacin de PCN.
Coordinar, apoyar y hacer seguimiento a la gestin de PCN en cada rea.
Guiar en el desarrollo de las diferentes etapas del PCN.
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE
CONTINUIDAD DEL NEGOCIO
La Administracin del Plan de continuidad del Negocio est conformada por los siguientes
elementos:
Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no
disponibilidad del sitio normal de trabajo y no contar con los proveedores crticos del negocio.
Planes de Recuperacin de Desastres DRP, el cual contempla las diferentes estrategias
definidas para la recuperacin de los sistemas.
Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la
reanudacin oportuna y ordenada de los procesos del negocio
6.5 ENTRENAMIENTO
En el xito del Plan de Continuidad es fundamental contar con la participacin y el compromiso
del personal involucrado en el mismo. La administracin de continuidad debe asegurar que todos
los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso
de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que
sern los encargados de ponerlos en funcionamiento en caso de presentarse un evento no
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 16 de 123
deseado. A los Jefes de las reas tambin se les capacita y concientiza, ya que son los
responsables de la correcta ejecucin de los planes.
La Oficina de Riesgos suministra los programas de capacitacin, para que sean ofrecidos a todo
el personal a travs de la Secretaria General Grupo de Talento Humano.
Dentro de la poltica de capacitacin se contempla suministrar a todos los funcionarios
capacitacin anual de Plan de Continuidad de Negocios a travs de la herramienta e-Learning,
as como en el proceso de induccin.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 17 de 123
7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
La Administracin del Plan de Continuidad de Negocio la componen dos (2) fases, como son:
7.1 FASE DE PREVENCION
En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan
los diferentes mecanismos de prevencin ante incidentes o desastres que mitigan su impacto.
Est conformada por las siguientes etapas:
7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA
A) CONCEPTO
El Anlisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una
etapa que permite identificar la urgencia de recuperacin de cada rea, determinando el
impacto en caso de interrupcin. Esta actividad conlleva a identificar los procedimientos
crticos de la Entidad, los recursos utilizados para soportar las funciones, as como sus
proveedores, tambin determinar los sistemas crticos y estimar el tiempo que la Entidad
puede tolerar en caso de un incidente o desastre.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 18 de 123
B) OBJETIVO
El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperacin de
Negocios, es la gua que determina qu necesita ser recuperado y el tiempo requerido para
recuperacin.
C) ALCANCE
A travs del desarrollo del BIA se obtiene la siguiente informacin:
Evaluacin de los procedimientos, donde se establece cules son primordiales para la
continuidad de la Entidad.
Determinacin de los impactos de una interrupcin y cuando empiezan.
Priorizacin y establecimiento del perodo de tiempo en el que los sistemas, aplicaciones y
funciones deben ser recuperados despus de una interrupcin (RTO).
Determinacin del orden de recuperacin.
Establecimiento del tiempo mximo tolerable permitido de prdida de informacin ante una
interrupcin en los sistemas de informacin (RPO).
Definicin de los recursos necesarios para el buen desarrollo de los procedimientos a nivel
de: Tecnologa, personal, infraestructura y soporte proveedores.
D) FASES DEL BIA
Para desarrollar la etapa de Anlisis de Impacto del Negocio - BIA se ha establecido cumplir
con los siguientes pasos:
i. PLANEACION
Contempla los aspectos para el correcto y completo desarrollo del BIA, como son:
Identificacin Procesos y Procedimientos: Obtener la relacin de los procesos y
procedimientos para realizar la Evaluacin BIA.
Equipo de Planeacin: Cada rea cuenta con un Lder de PCN, que en conjunto con el
Lder de Proceso evalan bajo la metodologa BIA los procedimientos asignados.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 19 de 123
ii. METODOLOGIA BIA
Todos los procedimientos de la Entidad, as como los recursos tecnolgicos en los que se
soportan tales actividades son clasificados de acuerdo con su prioridad de recuperacin.
Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause
prdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En
caso de continuidad todo gira alrededor del impacto, buscando sostener la operacin crtica
de la Entidad.
La metodologa establece el diligenciamiento del Documento BIA (ver anexo No. 8.5.1), el
cual es aplicado para cada una de los procedimientos que se realizan en la Entidad,
utilizando el mismo patrn de calificacin. A continuacin se detalla el Documento BIA
diseado en la herramienta Excel:
CUESTIONARIO DE EVALUACION BIA Permite analizar los impactos que puede causar el no ejecutar un procedimiento por
encontrarse ante un incidente o desastre. Los impactos contemplados son:
Regulatorio/ Legal: Incluye prdidas por no presentar reportes financieros o de
impuestos en las fechas indicadas, demandas o penalizaciones al incumplir
requerimientos obligatorios en las actividades de la Entidad.
Financiero: Incluye prdida de ingresos, prdida de intereses, costos de pedir dinero
prestado para hacer caja, prdida de ingresos por prstamos no realizados,
penalizaciones por no cumplir compromisos contractuales o niveles de servicio y
prdidas de oportunidades durante el tiempo inoperante.
Reputacional: Incluye la prdida de confianza por parte de los clientes, del mercado y de
los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el
servicio, apariciones en las noticias por quejas de los clientes y prdida de reputacin.
Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y
oportuna atencin a las necesidades de los usuarios.
Operativo: Incluye la suspensin de la operacin y los reprocesos que ello puede
ocasionar.
Para responder las preguntas se debe tener en cuenta la tabla del numeral 8.4.4 de este
documento denominada Criterios del Impacto. La escala de valoracin del impacto es la
siguiente:
Legal Econmico Servicio al Cliente Reputacional Procesos
20 20 40 15 5
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 20 de 123
Escala de Valoracin del Impacto
El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar
antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo
de Recuperacin Objetivo (RTO), que consiste en establecer cunto tiempo puede
permanecer la Entidad sin ejecutar una actividad, el uso de una aplicacin o informacin
relevante; est asociado con el tiempo mximo de inactividad. En consecuencia, la mayora
de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los
clientes por dejar de realizar el procedimiento ante una interrupcin.
Adicional, existe la pregunta referente a s el procedimiento analizado proporciona
informacin crtica para cualquier otro procedimiento, con el fin de determinar
interdependencias.
Como resultado de la evaluacin se genera las siguientes valoraciones:
Calificacin BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados
por no ejecutarse el procedimiento. Esto se deriva a travs de la realizacin del
cuestionario BIA.
Tiempo Objetivo de Recuperacin (RTO): El perodo de tiempo despus de una
interrupcin, mediante el cual el Instituto debe activar sus planes de contingencia y
recuperacin de las actividades crticas para evitar un impacto significativo.
Valor del BIA: Indica la criticidad del procedimiento basado en la Calificacin BIA y que
impulsa el establecimiento de prioridades de recuperacin durante una situacin difcil.
La tabla de valoracin establecida es la siguiente:
Tabla de valoracin del BIA
Esta informacin ser el punto de partida para desarrollar las estrategias de recuperacin.
Calificacin BIATiempo Objetivo de
Recuperacin (RTO)Valor del BIA
N - 1AAA 4 Horas Misin Critica
N - 1AA 8 Horas Misin Critica
N - 1A 24 Horas Masivo
Nivel 2 48 Horas Masivo
Nivel 3 7 das Medio
Nivel 4 14 das Medio
Nivel 5 30 das Bajo
Nivel 6 > 30 das Insignificante
Tabla Valoracin del BIA
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 21 de 123
Determinacin del Punto de Recuperacin Objetivo de la informacin RPO: El
parmetro de Punto de Recuperacin Objetivo de la Informacin determina la periodicidad
con la que deben salvaguardarse los datos de los procesos del negocio; cunto ms
pequeo sea el RPO ms slido debe ser el mecanismo de proteccin de datos (backup,
replicacin online, etc).
El cuestionario de Evaluacin BIA contiene la pregunta dirigida a establecer el Punto
Objetivo de Recuperacin (RPO) por procedimiento, la cual permite establecer el apetito de
riesgo de prdida de informacin ante un incidente tecnolgico.
Los parmetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que
utilice la Entidad.
Requerimientos Infraestructura: El anlisis de los procedimientos est acompaado de
la identificacin de los requerimientos de personal, recursos y facilidades necesarias para
su operacin ante un evento de contingencia.
Para ello, se tiene dispuesto la hoja de Clculo Requerimientos Tecnolgicos del
documento BIA, donde el Lder de PCN diligencia la informacin referente a:
Nmero de colaboradores de tiempo completo para ejecutar el proceso.
Recurso humano requerido en contingencia.
Aplicativos tecnolgicos utilizados en el procedimiento. Con esta informacin se
determina la criticidad de los aplicativos del Icetex.
Elementos logsticos como son: telfono, impresora, escner etc.
Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta
compartida del rea.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 22 de 123
Informacin de Proveedores Externos: El BIA identifica la relacin del procedimiento con
proveedores externos y en la hoja de clculo denominada Informacin Proveedores del
Documento BIA se mencionan los proveedores crticos.
APROBACION DE LA EVALUACION
Cada procedimiento evaluado por la metodologa BIA es revisado, analizado y aprobado
por el Lder del Proceso y como evidencia se genera el documento Resultados del Anlisis
de Impacto de Negocio (BIA), el cual es firmado por el Lder de Proceso y Lder de PCN
del rea.
iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS
Los resultados de la Evaluacin BIA de todos los procedimientos son consolidados por la
Oficina de Riesgos. De esta informacin se producen los siguientes resultados, que deben
ser informados al Comit SARO SARLAFT:
Nmero de procesos y procedimientos evaluados.
Clasificacin de los procedimientos por calificacin BIA.
Establecimiento de los procedimientos crticos de la Entidad, de acuerdo con la
calificacin BIA.
Cantidad de recursos humanos requeridos en contingencia: Nmero de personas que
apoyan la contingencia ante una interrupcin de las operaciones.
Recursos de Bienes Muebles clasificado por calificacin BIA: Se establecen los bienes
muebles necesarios en la contingencia, como son: Computadores, telfonos, escneres,
impresoras y otros elementos necesarios en contingencia.
Dependencia de los proveedores externos en los procesos prioritarios: Definir los
proveedores crticos con el fin de involucrarlos en la estrategia de PCN.
Recursos Tecnolgicos: Es necesario suministrar la informacin de:
Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada
procedimiento, con el fin de contar con la informacin necesaria para el alistamiento
de los computadores que se disponen como contingencia en el escenario de
Interrupcin de Lugar. Adicionalmente, esta es la fuente para establecer el orden de
criticidad de los aplicativos.
El punto objetivo de recuperacin (RPO): Con el fin de establecer las estrategias de
backup adecuadas para garantizar que en caso de cada y dao de los data files en
una base de datos, se restaure la informacin con el mnimo de prdida.
En el Anexo No.8.6.2 describe el resultado de la ltima Evaluacin del BIA.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 23 de 123
7.1.2 ETAPA DE ANALISIS DE RIESGOS
En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas,
sistemas, infraestructura y procesos que podran ocasionar riesgos de continuidad para la
Entidad, con el fin de medir el nivel del riesgo.
A) OBJETIVOS
La gestin de riesgos de continuidad tiene por funcin especial reducir la probabilidad de una
amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de
desastre o una interrupcin significativa en los servicios.
B) METODOLOGIA DE ANALISIS DE RIESGO
A continuacin se detalla la Metodologa de Anlisis de Riesgos, la cual cubre los aspectos relacionados a continuacin:
Identificacin de riesgos de continuidad
Clculo del riesgo inherente
Evaluacin de controles
Clculo del riesgo residual
Tratamiento del riesgo residual
IDENTIFICACION DEL RIESGO
El Lder de PCN de cada rea en conjunto con el Analista encargado de la Oficina de
Riesgos procede de la siguiente manera:
1. Determinar los procesos crticos del rea a cargo, resultado que se obtuvo en la etapa de
Anlisis de Impacto del Negocio (BIA).
2. Establecer los recursos necesarios para la continuidad de los procedimientos crticos, que
tambin se estimaron en la etapa de Anlisis de Impacto del Negocio (BIA).
3. Describir las posibles amenazas que conlleven a una interrupcin en la operacin. Para
ello, es necesario tomar como gua el anexo No. 8.4.1 denominado Tipos de Amenazas,
donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si
tales situaciones pueden darse en el proceso analizado.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 24 de 123
4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada.
Para identificarla es necesario responder esta pregunta: Cmo puede ocurrir una
amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la
misma, evaluando si dentro del Instituto puede darse esa circunstancia.
Se recomienda utilizar como gua con el anexo No. 8.4.2 denominado Tabla de
Vulnerabilidades, donde se encuentra una relacin de debilidades que podran llegar a
generar la interrupcin del proceso. Es de aclarar, que esta tabla es solamente una gua
pudiendo incluirse muchas otras situaciones de debilidades.
5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad.
6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo
con la tabla 8.4.2:
Personas
Infraestructura fsica
Infraestructura de tecnologa de informacin
Procesos
CALCULO DEL RIESGO INHERENTE
El riesgo de continuidad se evala con dos (2) variables de medicin, una que expresa el
impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En
consecuencia, para la evaluacin del riesgo de continuidad se utilizar las tablas de los
numerales 8.4.3 Criterios de Frecuencia y 8.4.4 Criterios de Impacto, las cuales contienen
los criterios que permiten ubicar al Lder del Plan de continuidad del Negocio para efectuar
la evaluacin.
Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, segn la
siguiente escala de medicin:
Escala de medicin
1 2 3 4 5
Muy baja Baja Moderada Alta Muy alta
Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en
las diferentes vulnerabilidades que conforman el riesgo.
Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de
afectacin sobre los siguientes factores de influencia:
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 25 de 123
Impactos Regulatorio/
Legal Financiero Servicio al
cliente Reputacional Operativo Humano Infraestructura
Para establecer el resultado del impacto para cada riesgo se toma la calificacin del cuestionario BIA.
Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos
puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la
Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente
mximo es 25 y el mnimo es 1.
EVALUACION DE LOS CONTROLES
Este proceso permite evaluar todos los controles asociados a las vulnerabilidades
identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de
control para poder dar un adecuado tratamiento al riesgo.
Los criterios de evaluacin del control son: Oficialidad, Aplicacin y Efectividad, a los cuales
se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100.
El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables:
Control no documentado, no aporta valor al total del criterio.
Control documentado, aporta al total del criterio una calificacin de 8 puntos.
Control aprobado, aporta al total del criterio una calificacin de 8 puntos.
Control divulgado, aporta al total del criterio una calificacin de 4 puntos, para un total de
20 puntos.
El segundo criterio es la Aplicacin, el cual aporta un total de 30 puntos, siendo necesario
seleccionar una de las tres (3) opciones, as:
El control nunca se aplica, no aporta valor al total del criterio.
Se aplica a discrecin, arroja una calificacin de 10.
Se aplica siempre, tiene una calificacin de 30.
Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 26 de 123
Comprobada la efectividad, donde se debe contar con la evidencia fsica que dada la
aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificacin es
de 50 puntos.
Percepcin positiva, en la cual no se tiene la evidencia pero la percepcin del experto en
cuanto a la efectividad del control es positiva. La calificacin es de 30 puntos.
Percepcin negativa, donde la percepcin del experto es negativa en cuanto a la
efectividad del control. La calificacin es de 10 puntos.
Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo
para la prevencin y deteccin de riesgos, dndole una calificacin 0 puntos.
La puntuacin obtenida del control genera una calificacin, como se ilustra en la siguiente
tabla:
Calificacin del Control
Los controles se clasifican en:
Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con
que ocurren las causas del riesgo.
Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino
que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen
acciones sobre tales detecciones.
Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los
eventos que ponen en riesgo el logro de los objetivos del proceso.
Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, stos se
agrupan y se toma el valor ms alto de las calificaciones obtenidas de los controles. De igual
manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.
CUADRANTES A DISMINUIR EN
LA FRECUENCIA
CUADRANTES A DISMINUIR EN
EL IMPACTO
Entre 0 - 50 0 0
Entre 51 - 75 1 1
Entre 76 - 100 2 2
DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O
IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION,
EVALUACION Y RESPUESTA A LOS RIESGOS
RANGO DE
CALIFICACION DE
LOS CONTROLES
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 27 de 123
CALCULO DEL RIESGO RESIDUAL Luego de la valoracin de los controles se identifica el efecto de mitigacin en frecuencia e
impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo
residual, as:
Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla
Calificacin del Control, estableciendo el efecto de mitigacin que indica la columna
Cuadrantes a disminuir en la frecuencia. Este valor se resta a la frecuencia obtenida en
riesgo inherente.
De igual manera se procede con los controles dispuestos para disminuir el impacto del
riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla
Calificacin del Control, estableciendo el efecto de mitigacin que indica la columna
Cuadrantes a disminuir en el impacto. Este valor se resta al impacto obtenido en riesgo
inherente.
Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los
controles, obteniendo as el Riesgo Residual.
El Riesgo Residual se ubica en la siguiente Escala de Clasificacin del Riesgo:
Rango de calificacin
de controlesFrecuencia
Cuadrante a
disminuir en la
Frecuencia
Valor Frecuencia
Residual
80 puntos 4 2 2
Calificacin control
sobre ImpactoImpacto Efecto mitigacin
Valor Impacto
Residual
60 puntos 3 1 2
NIVELCLASIFICACIN
0-3 Aceptable
4-6 Tolerable
7-15 Grave
16-25 Critico
Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual
4 3 12 2 2 4
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 28 de 123
Al presentarse dentro del Mapa Trmico, se ubica el valor del Riesgo Residual, teniendo en
cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles:
TRATAMIENTO DEL RIESGO RESIDUAL A partir de la evaluacin y anlisis de los riesgos, se priorizan de mayor a menor criticidad, a
fin de tomar decisiones de cmo actuar sobre los mismos. Esta metodologa pretende actuar
sobre los riesgos que estn fuera del rango de aceptabilidad. El tratamiento del riesgo residual
debe ir orientado a cualquiera de las siguientes opciones:
Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisin
administrativa.
Mitigar el riesgo: Se consigue mediante la optimizacin de los procedimientos y la
implementacin de controles tendientes a disminuir la frecuencia de ocurrencia y/o
minimizar la severidad de su impacto.
Dispersar o atomizar el riesgo: Se logra mediante la distribucin o localizacin del riesgo en
diversos lugares, procesos o personas.
Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la
responsabilidad por el manejo del riesgo y/o la obligacin por las consecuencias
financieras del riesgo, en caso de ocurrencia. Esta tcnica no reduce la frecuencia ni el
impacto, involucra a otro en la responsabilidad. P. e. Plizas de Seguros,
Subcontrataciones.
0
1
2
3
4
5
0 1 2 3 4 5
FR
EC
IUE
NC
IA
IMPACTO
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 29 de 123
Asumir el riesgo: Aceptacin del riesgo en razn a que los retornos potenciales son
atractivos en relacin con los riesgos involucrados.
Para los riesgos que en su calificacin residual se clasifiquen como graves o crticos, el Lder
de Proceso debe establecer planes de accin que busquen reducir la exposicin de la Entidad
a travs de la creacin de nuevos controles o la implementacin de modificaciones a los
controles existentes. A dichos planes se les har seguimiento de forma trimestral, y se
reportar su avance al Comit SARO-SARLAFT, con el fin de tomar las decisiones
respectivas para su tratamiento y mitigacin.
Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por
los Lderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento
en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de
realizar la respectiva reclasificacin y acordar acciones.
C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD
Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de accin para
determinar el nivel de exposicin frente al aspecto de disponibilidad de los elementos que se
requieren para la continuidad del negocio.
El Lder de PCN efecta seguimiento permanente sobre la implementacin de los planes de
accin y la verificacin de la efectividad de los controles y a la vez identificando nuevos
riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Lder de
PCN de cada una de las reas con apoyo del Funcionario Responsable en la Oficina de
Riesgos y ste es aprobado por el Lder del Proceso. Este monitoreo se realiza en la Matriz
de Riesgo de PCN.
Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comit SARO-SARLAFT las
medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al
riesgo fijado por la Entidad.
D) REPORTE DE INCIDENTES DE CONTINUIDAD
Los incidentes que afecten la continuidad de la operacin deben ser reportados por los
Lderes de PCN a la Oficina de Riesgos, a travs del formato Reportes de Incidentes de
Contingencia (Ver numeral 8.5.2), dentro de los tres (3) das hbiles siguientes a la
ocurrencia del hecho.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 30 de 123
7.1.3 ETAPA DE ESTRATEGIA
A) CONCEPTO
Corresponden a las acciones que se deben tomar con el objetivo de restablecer las
operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupcin o
falla en los procesos o funciones crticas.
Es necesario identificar las diferentes estrategias de continuidad y seleccionar las ms
adecuada para la institucin, para lo cual el Lder de PCN de cada rea junto con el
Profesional del tema en la oficina de Riesgos analizarn las variables de:
La criticidad del proceso a proteger
El costo de la estrategia
El tiempo de recuperacin objetivo (RTO)
B) OBJETIVOS
Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible,
con un aceptable nivel de servicio.
Garantizar que los Empleados:
Estn protegidos Comprenden su papel Saben a dnde ir Saben qu hacer Saben qu recursos necesitan Entienden la secuencia de las tareas crticas
Ayudar a planificar la recuperacin y reanudacin de las operaciones.
Validar asuntos de recuperacin de la Entidad, como:
Necesidades de telecomunicaciones durante y despus del desastre. Lugar alterno para continuidad/recuperacin y reanudacin.
C) ALCANCE
La seleccin de los mtodos alternativos de operacin que deben ser utilizados ante una
interrupcin para mantener o reanudar las actividades de la Entidad y sus dependencias.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 31 de 123
Las diferentes situaciones para las cuales se deben definir estrategias de recuperacin son:
Ausencia de personal
Sitio alterno
Fallas tecnolgicas
D) ESTRATEGIAS POR AUSENCIA DE PERSONAL
Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicacin:
El colaborador ausente activa la Cascada Telefnica y se comunica con el Jefe inmediato.
El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por
Ausencia de Personal. Distribuye procesos claves o asigna funciones al colaborador Back
- up. De ser necesario, solicita al Oficial de Seguridad Tecnolgica la reasignacin de
perfiles, a travs del formato F121 Formato asignacin de accesos a sistemas de
informacin.
El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos.
El documento denominado Cascada Telefnica cuenta con la informacin bsica de los
colaboradores y proveedores con el nimo de utilizarlos en un evento de contingencia, como
es:
Funcionarios: Mantener la informacin de los colaboradores permite comunicarse con ellos en
el evento que se encuentren fuera de las instalaciones.
Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la
informacin de contacto.
Cada rea cuenta con la informacin de Cascada Telefnica, la cual est conformada por:
Cascada: Contiene los datos bsicos de los colaboradores: nombres, cargo, nmero de
telfono personal y s fue definido como personal crtico para operar la contingencia o no.
Se encuentran descritos en el orden que sern llamados ante un evento.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 32 de 123
Personal mnimo: En este se relaciona las personas crticas sobre las cuales depende la
ejecucin de la actividad. Se encuentran relacionados los colaboradores que participarn
en la contingencia por cada procedimiento.
Contacto Externo: Relaciona los datos bsicos de los proveedores: nombre del proveedor,
nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto
personal, telfono de la oficina y mvil y correo electrnico.
En el numeral 8.5.3 se encuentra el formato de Cascada Telefnica. La informacin de
Cascada Telefnica de cada rea la conserva el Lder de PCN y la consolidacin de la misma
reposa en la Oficina de Riesgos.
E) ESTRATEGIA DE SITIO ALTERNO
La alternativa de traslado del personal se presenta en el evento que los funcionarios no
puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de
contingencia permitiendo la continuidad de las operaciones de los procesos crticos del Icetex
desde un sitio alterno de operacin.
Las alternativas podrn ser usadas simultneamente dependiendo de la disponibilidad del
proveedor en el momento de la interrupcin del Icetex, adems depende de la activacin y
numero de procesos que se activen segn el evento y el da en que se presente.
El numeral 8.3.1 Procedimiento de Estrategia de Sitio Alterno, aporta las actividades que se
deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones
alterno.
F) ESTRATEGIA TECNOLOGICA
La contingencia se presenta cuando el hardware y/o software presenta fallas, o por
interrupcin prolongada de telecomunicaciones.
La Direccin de Tecnologa tiene estructurado el siguiente Plan de Continuidad para los
aplicativos e infraestructura de la Entidad:
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 33 de 123
Este cuadro presenta las partes de infraestructura tecnolgica que se les realiza estrategia de
contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos),
como son: Red, Centro de Cmputo y Servidores desglosado por los temas que la componen.
El detalle de estas estrategias tecnolgicas se encuentra en el numeral 8.1, de este
documento.
Ante una falla tecnolgica se debe ejecutar el Procedimiento de Manejo de Incidentes por
problemas en los sistemas, descrito en el numeral 8.3.2.
G) ESTRATEGIA CONTINGENCIA MANUAL
Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para
operar, teniendo como eleccin realizar la actividad de forma manual. Por esta razn, se
estructuran estrategias de contingencia manual, para aquellos calificados como crticos y que
permitan operar sin un sistema base.
Los Lderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias
manuales que se disponen en el numeral 8.2 de este documento.
Red
Centro Computo
Servidor
Switches Centro cableado HUB Firewall
C&CTEX Apoteosys Mercurio Cobol Bizagi Sevimpro Correo
Electrnico
APLICATIVOS
RED LAN
RED WANTelecomunicaciones
ETB
Routers Enlaces
Aire acondicionado Sistema de incendio Sistema elctrico UPS
Base de datos Sistema operativo Software base de datos Servidor Hardware
INFRAESTRUCTURA
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 34 de 123
7.1.4 ETAPA DE PRUEBAS
A) CONCEPTO
Consiste en probar la efectividad de las estrategias diseadas y permitir el continuo
mejoramiento del PCN de la Entidad. Esta etapa le da a la Institucin la oportunidad de
identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser
atendidas, preparando el negocio para la emergencia real.
B) OBJETIVOS
Practicar los procedimientos ante un incidente o desastre.
Identificar reas que necesitan mejora.
Permitir al PCN permanecer activo, actualizado, entendible y usable.
Demostrar la habilidad de recuperacin.
C) ALCANCE DE LAS PRUEBAS
Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operacin
normal sean mnimas y deben comprender los elementos crticos y simular condiciones de
proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir
las siguientes tareas:
Verificar la totalidad y precisin del Plan.
Evaluar el desempeo del personal involucrado.
Evaluar la coordinacin entre los miembros del grupo de contingencia, proveedores y otros
terceros.
Identificar la capacidad de recuperar registros e informacin vital.
Medir el desempeo de los sistemas operativos y computacionales.
Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados,
planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una
revisin exhaustiva de los resultados de las mismas, para generar mejoras a los planes.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 35 de 123
D) TIPO DE PTUEBAS
En la siguiente grafica se ilustra la metodologa que se debe utilizar para la realizacin de las
pruebas del plan de continuidad de negocio del Icetex:
E) PLAN DE PRUEBAS
Para la realizacin de una Prueba de Estrategia de Continuidad es necesario diligenciar el
documento Plan de Pruebas (ver anexo No. 8.5.4), conformado por los siguientes pasos:
Guion de pruebas: Es el documento mediante el cual se plasma la intencin de efectuar la
revisin de la estrategia de continuidad estimada para el proceso o servicio determinado,
donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de
interrupcin, los resultados esperados, los integrantes de las pruebas y los riesgos
asociados a la ejecucin de la prueba. Este documento debe desarrollarlo previo a la
ejecucin de la prueba el Lder de PCN responsable del proceso a probar con la gua del
funcionario encargado en la Oficina de Riesgos.
Paso a paso de la planeacin: Este documento relaciona las actividades a efectuar durante
la prueba, indicando adems los responsables de realizar tales actividades as como los
recursos mnimos necesarios y los tiempos de su realizacin, para la estimacin completa
TIPO DE
PRUEBA
TECNICA
UTILIZADA
OPERACIN
Integrada Creacin de un
escenario
Seguimiento en
vivo de todas las
estrategias re
recuperacin
Con previo aviso.
Apoyo de los
proveedores de
recuperacin
Prueba integrada con todos los
elementos que hacen parte del
plan de contingencia.
Componentes Creacin de un
escenario
Seguimiento de
las estrategias de
recuperacin
Con previo aviso.
Se ejecutan las estrategias y
procedimientos de recuperacin
de cada uno de los componentes
de la infraestructura tecnolgica.
Escritorio Con previo aviso.
Creacin de un
escenario.
Se realiza un ejercicio de papel
de un escenario de desastre que
toma lugar en un saln de
conferencia.
Prueba Integrada
Pruebas Componentes
Pruebas de Escritorio
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 36 de 123
del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son
necesarios para la adecuada realizacin de la prueba. Al igual que en el anterior tem, este
informe debe ser adelantado previo a la ejecucin de la prueba por el Lder de PCN
responsable del proceso a probar con la gua del funcionario encargado en la Oficina de
Riesgos.
Paso a paso de la ejecucin: Este documento contiene las actividades realizadas en el
desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se
presenten algn incidente dentro de la prueba. Adicionalmente, se describen los recursos
mnimos necesarios, los responsables y los tiempos de ejecucin de las actividades. Este
informe es elaborado en el momento de la prueba por el Lder de PCN responsable del
proceso a probar con la gua del funcionario encargado en la Oficina de Riesgos.
Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan
para retornar a la operacin normal, caso devolucin a los puestos de trabajo, captura de
las operaciones que no se procesaron en un aplicativo, entre otras.
Encuesta de satisfaccin: Este informe lo realizan diferentes integrantes de la prueba,
donde se busca determinar el grado de satisfaccin de la prueba. La conforman aspectos
como: duracin de la prueba, preparacin de la prueba y la comunicacin de la misma, y
dificultades que se identificaron.
Acta de reunin: En este documento se establecen los objetivos, conclusiones de la
prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros
obtenidos en la ejecucin de la prueba y los riesgos asociados identificados en la ejecucin
de la prueba, as como las acciones mitigantes que mejorarn la estrategia de continuidad
del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la
prueba.
Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento Acta de
reunin dirigido a los participantes y al jefe responsable de proceso.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 37 de 123
7.1.5 ETAPA DE MANTENIMIENTO
A) CONCEPTO
Es la revisin peridica de lineamientos, estrategias, tcnicas y planes, capacitacin a
personal para que el PCN permanezca actualizado con el objetivo de ser capaz de lograr la
recuperacin de actividades de misin crtica dentro de los objetivos de tiempo de
recuperacin asegurando una continuidad de sus servicios y productos.
B) OBJETIVOS
Verificacin y validacin de lineamientos, estrategias y planes de PCN.
Detalles de todos los cambios de estrategias del PCN con el historial de control de
versiones.
C) FACTORES DE ACTUALIZACION
Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de ste, que
afectan el PCN. A continuacin se relaciona una lista de eventos que pueden generar una
revisin al PCN:
Requerimientos legales.
Nuevos productos.
Nuevo hardware, plataformas, aplicativos u otros cambios de tecnologa (Sistemas
Operativos, Bases de Datos).
Cambios en las telecomunicaciones (voz o datos).
Quiebra y/o cambio de un proveedor crtico.
Cambio de instalaciones.
Cambios en el personal o reubicacin del mismo.
Transferencia de funciones entre sitios existentes.
Consolidacin o tercerizacin de funciones.
Cambios en proveedores externos crticos.
Resultados de las pruebas del Plan de Continuidad del Negocio.
Cambios en el Sistema de Gestin de Calidad y Procesos.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 38 de 123
7.2 FASE DE ADMINISTRACION DE CRISIS
7.2.1 CONCEPTO
En esta fase se gestiona efectivamente el manejo de la crisis, durante y despus de la misma; un
buen manejo de la crisis minimiza los impactos de una interrupcin.
7.2.2 OBJETIVOS
Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.
Identificar tipos de emergencias y las respuestas necesarias.
7.2.3 ALCANCE
Este plan de administracin de crisis se ejecuta teniendo como premisa las decisiones del
Comit SARO- SARLAFT. Todas las comunicaciones sern dirigidas por el responsable de
comunicaciones del Instituto y se apoyarn en el Manual de gestin de la comunicacin en
situaciones de crisis.
Los documentos indicados en los numerales 8.3.1 y 8.3.2 Escenario de contingencia a sitio
alterno y Manejo de incidentes por problemas en los sistemas, sintetizan esta fase, la cual est
conformada por las siguientes etapas:
Etapa de Evaluacin: La evaluacin constituye la etapa de valoracin preliminar de un evento de interrupcin que afecta de forma considerable la Entidad. La evaluacin se hace en sitio, teniendo en cuenta los perfiles y competencias necesarios para determinar: causa de la interrupcin, poblacin de usuarios afectada, apreciacin de la magnitud, valoracin del dao, escenario de soluciones, recursos involucrados y tiempo estimado de la solucin. Etapa de Activacin: Se describen las actividades requeridas para declarar y comunicar el desastre de forma tal que se active la contingencia y se comunique la interrupcin a los equipos responsables de recuperar el servicio. Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para restaurar la operacin a la normalidad, una vez superada la contingencia y recuperados los servicios de la entidad.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 39 de 123
8 ANEXOS
8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA
Estrategia PCTI Base de Datos Estrategia Red WAN
Estrategia Red LAN Switches Estrategia Sistema Operativo Software de Base de Datos
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 40 de 123
ESTRATEGIA TECNOLGICA DE BASE DE DATOS
1. OBJETIVO
Recuperar un servidor de base de datos por dao en el sistema manejador de la base de datos que se encuentra en el centro de cmputo ICETEX. 2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
Daos o fallas en algn servidor que afecte servicios dentro de los cuales esta soportado por una base de datos.
Falla a nivel de Software de Base de datos.
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte y Carta de Servicio ORACLE o MS SQL Server
4. DESCRIPCIN
DIAGRAMA DE FLUJO
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 41 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
No. Act
Descripcin de la Actividad
Observaciones Responsable Recursos requeridos y ubicacin
1 Identificar la falla y realizar un diagnstico interno
Administrador de la base de datos
2
Llamar al CONTRATISTA responsable del mantenimiento
Llamar a las lneas: Las que se encuentren en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Direccin de Tecnologa (Continuidad_de_negocio)
Administrador de la base de datos
Contrato
3 Diagnstico de la situacin.
Se efecta un diagnstico del estado de la base de datos.
Administrador de la base de datos y/o contratista
4
Se puede recuperar el servicio en la misma mquina?
De acuerdo al diagnstico se decide sobre el mejor procedimiento para restablecer el servicio. En caso afirmativo pasa al punto 5 de lo contrario al punto 6.
Administrador de la base de datos y/o contratista
5 Proceder a Se restablece el servicio en el mismo Administrador de la
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 42 de 123
restablecer el servicio
servidor y se pasa al paso 10 base de datos y/o contratista
6 Recuperar la hoja de vida de la base de datos
La extraer del repositorio Continuidad_de_negocio de plantillas de hojas de vida de las bases de datos.
Administrador de la base de datos, Coordinador de infraestructura, o el Director de tecnologa
7 Crear la base de datos en el servidor de contingencia.
Toma la hoja de vida y con los comandos de la consola de administracin crea la base de datos con los parmetros descritos en la hoja de vida.
Administrador de la base de datos.
8 Recuperar ultima copia de la base de datos.
Tomar ultima copia de seguridad disponible de la base de datos y proceder a su restauracin en la base de datos creada recientemente.
Administrador de la base de datos.
9 Definir los usuarios del sistema en el nuevo servidor.
Tomar de la hoja de vida los usuarios requeridos para su correcto funcionamiento y definirlos asignndoles los perfiles requeridos
Administrador de la base de datos.
10 Verificar que la base de datos opera adecuadamente.
Si los resultados son satisfactorios se sigue al paso 11, sino vuelve al paso 4.
Administrador de la base de datos
11
Se informa al Coordinador de Infraestructura o al Director de Tecnologa del restablecimiento del servicio
Reporte de funcionamiento y se documenta el proceso efectuado.
Administrador de la base de datos.
12 Reporte de servicio restablecido.
El Coordinador de Infraestructura o el Director de Tecnologa, informan que la contingencia ha sido superada.
Coordinador de Infraestructura, Administrador de la Red o el Director de Tecnologa
5. SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
COMO EJERCER EL CONTROL
EVIDENCIA DEL CONTROL
RESPONSABLE
6. HISTORIA DEL DOCUMENTO
VERSIN FECHA OBSERVACIN
V1 10/12/2012 Creacin del documento.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 43 de 123
ESTRATEGIA TECNOLGICA DE RED WAN
1. OBJETIVO
Recuperar un enlace de comunicacin entre una sede regional y el nodo central 2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
Daos o fallas en algn enlace que afecte servicios dentro de los cuales esta soportado por la red WAN.
3. DEFINICIONES
N/A 4. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo) 5. DESCRIPCIN
DIAGRAMA DE FLUJO
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 44 de 123
ACTIVIDADES
ACTIVIDADES TAREAS
No. Act
Descripcin de la Actividad
Observaciones Responsable Recursos requeridos y ubicacin
1
Identificar la falla y realizar un diagnstico interno
Profesional Direccin de tecnologa y Proveedor de servicios de la red
2 Llamar al CONTRATISTA
Llamar a las lneas: - Las que se encuentren en el
documento de contacto del CONTRATISTA ubicada en carpetas compartidas continuidad_de_negocio contactos
Coordinador de Infraestructura o Profesional de Direccin de tecnologa
Contrato (Anexo 1)
3
Diagnstico de la situacin por parte del administrador de la red o del contratista
Se efecta un diagnstico del estado del enlace de comunicaciones.
Coordinador de Infraestructura o Profesional de Direccin de tecnologa o contratista
4
Se puede recuperar el servicio empleando el canal de contingencia
De acuerdo al diagnstico se decide sobre el mejor procedimiento para restablecer el servicio
Coordinador de Infraestructura o Profesional de Direccin de tecnologa o contratista
5 Proceder a restablecer el servicio
Se restablece el servicio y se pasa al paso 7
Coordinador de Infraestructura o Profesional de Direccin de tecnologa o contratista
6
Establecer canal de comunicacin alterno
Enviar equipo de trabajo, revisar el enrutador, el enlace, canal
Contratista
7 Validar la configuracin
Establecer QoS, parmetros de configuracin, enrutamiento, etc
Contratista
8 Verificar que el enlace opera adecuadamente
Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica
Coordinador de Infraestructura o Profesional de Direccin de tecnologa o contratista
9
Se informa al Coordinador de infraestructura o al Director de tecnologa, del
Reporte de funcionamiento y se documenta el proceso efectuado
Coordinador de Infraestructura o Profesional de Direccin de tecnologa
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 45 de 123
restablecimiento del servicio
10 Reporte de servicio restablecido
El Coordinador de infraestructura o el Director de tecnologa, informan que la contingencia ha sido superada.
Coordinador de infraestructura, Administrador de la red o el Director de tecnologa
6. SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
COMO EJERCER EL CONTROL
EVIDENCIA DEL CONTROL
RESPONSABLE
7. HISTORIA DEL DOCUMENTO
VERSIN FECHA OBSERVACIN
V1
17/02/2013
Creacin del documento.
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 46 de 123
ESTRATEGIA TECNOLGICA DE LAN - SWITCHES
1. OBJETIVO
Recuperar un Switch que se encuentra en la red de ICETEX. 2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
Daos o fallas en alguno de los Switches.
Falla a nivel de Hardware o Software. 3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
Contrato vigente de soporte y Carta de Servicio DSSP (Ver Anexo) 4. DESCRIPCIN
DIAGRAMA DE FLUJO
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 47 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
No. Act
Descripcin de la Actividad Observaciones Responsable
Recursos requeridos y ubicacin
1
Identificar la falla y realizar un diagnstico interno
Administrador de la Red
2
Llamar al CONTRATISTA responsable del mantenimiento o tomar uno de los switch del stock disponible para asignar un recambio
Llamar a las lneas: - Las que se encuentren
en el documento de contacto del CONTRATISTA ubicada en carpetas compartidas de la Direccin de tecnologa Continuidad_de_negocio contactos
Administrador de la Red
Contrato y carta de solicitud (Anexo 1)
3 Tomar el Swicth de recambio Administrador de la Red
4 Recuperar la plantilla de configuracin
La suministrar el Coordinador de Infraestructura de Tecnologa o el Director de tecnologa, y este la ubicar en el repositorio Continuidad_de_negocio plantillas de configuracin de los swicthes
Coordinador de infraestructura, Administrador de la red o el Director de tecnologa
5 Resetear el swicth, y aplicar la plantilla de configuracin
Toma la plantilla y con los comandos ::: proceder a cargarla en el Swicth de reposicin
Administrador de la Red
6 Verificar que el swicth opera adecuadamente
Se conecta el switch y se efectan las pruebas de enrutamiento necesarias.
Administrador de la red
7 El swicth opera adecuadamente
Si los resultados son satisfactorios se sigue al siguiente paso sino vuelve al paso No 5 y verifica
Administrador de la red
8
Se informa al Coordinador de infraestructura o al Director de tecnologa, del restablecimiento del servicio
Reporte de funcionamiento y se documenta el proceso efectuado
Administrador de la Red
9 Reporte de servicio restablecido El Coordinador de Coordinador de
-
Cdigo:
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Versin: 1
Fecha: 30/05/13
Pgina: 48 de 123
infraestructura o el Director de tecnologa, informan que la contingencia ha sido superada.
infraestructura, Administrador de la red o el Director de tecnologa
5. SEGUIMIENTO Y CONTROL
ACTIVIDAD A CONTROLAR
COMO EJERCER EL CONTROL
EVIDENCIA DEL CONTROL
RESPONSABLE
6. HISTORIA DEL DOCUMENTO
VERSIN FECHA OBSERVACIN
V1
29/05/2010
Creaci