Manual continuidad negocio

Código:
MANUAL DE ADMINISTRACION DEL PLAN DE
CONTINUIDAD DEL NEGOCIO
Versión: 1
Fecha: 30/05/13
Página: 1 de 123
MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS
INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL
EXTERIOR - ICETEX
Mayo de 2013

Código:
Versión: 1
Fecha: 30/05/13
Página: 2 de 123
Contenido
1 INTRODUCCION 4
2 OBJETIVOS 4
2.1 OBJETIVO GENERAL 4
2.2 OBJETIVOS ESPECIFICOS 4
3 ALCANCE 5
4 CONCEPTOS BASICOS 5
5 CAUSAS DE INTERRUPCION 7
6 GOBIERNO DE CONTINUIDAD 8
6.1 LINEAMIENTOS 8
6.2 NORMAS EXTERNAS 9
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10
6.3.1 COMITE SARO - SARLAFT 10
6.3.2 LIDERES PCN 14
6.3.3 OFICINA DE RIESGOS 15
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15
6.5 ENTRENAMIENTO 15
7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17
7.1 FASE DE PREVENCION 17
7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 17
7.1.2 ETAPA DE ANALISIS DE RIESGOS 23
7.1.3 ETAPA DE ESTRATEGIA 30
7.1.4 ETAPA DE PRUEBAS 34
7.1.5 ETAPA DE MANTENIMIENTO 37
7.2 FASE DE ADMINISTRACION DE CRISIS 38
7.2.1 CONCEPTO 38
7.2.2 OBJETIVOS 38

Código:
Versión: 1
Fecha: 30/05/13
Página: 3 de 123
7.2.3 ALCANCE 38
8 ANEXOS 39
8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39
8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51
8.3 ANEXOS DE PROCEDIMIENTOS 93
8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 93
8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 95
8.4 ANEXOS DE TABLAS 98
8.4.1 TIPOS DE AMENAZA 98
8.4.2 TIPOS DE VULNERABILIDADES 99
8.4.3 CRITERIOS DE FRECUENCIA 100
8.4.4 CRITERIOS DE IMPACTO 101
8.5 ANEXOS FORMATOS 102
8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 102
8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 106
8.5.3 CASCADA TELEFONICA 107
8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 109
8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 116
8.6 ANEXOS RESULTADOS 117
8.6.1 EQUIPO DE TRABAJO DEL PCN 117
117
8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA 118

Código:
Versión: 1
Fecha: 30/05/13
Página: 4 de 123
1 INTRODUCCION
El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un
incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el
menor tiempo posible, garantizando la continuidad del instituto.
La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa,
para responder organizadamente a eventos que interrumpen la normal operación de sus
procesos y que pueden generar impactos sensibles en el logro de los objetivos.
El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad
de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte
del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la
prevención y atención de emergencias, administración de la crisis, planes de contingencia y
capacidad de retorno a la operación normal.
2 OBJETIVOS
2.1 OBJETIVO GENERAL
Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y
mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la
atención de clientes y la operación.
2.2 OBJETIVOS ESPECIFICOS
 Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la
integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena
administración de la crisis.
 Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio.
 Asegurar una pronta restauración de las operaciones afectadas por el evento.
 Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.

Código:
Versión: 1
Fecha: 30/05/13
Página: 5 de 123
 Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera
de Colombia.
3 ALCANCE
La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la
organización para poder continuar operando durante un incidente o desastre, a través de la
implementación de un plan de continuidad, el cual contempla los lineamientos de administración
de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las
metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes
de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad.
De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades
con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad
física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los
mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de
crisis y los demás sistemas de gestión.
4 CONCEPTOS BASICOS
Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado,
transversal a toda la organización, que permite mantener alineados y vigentes todas las
iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad
del negocio.
Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo.
Abarca las personas, procesos de negocios, tecnología e infraestructura.
Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el
cual puede causar interrupción o reducción en la calidad del servicio y en la productividad.
Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o
más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un
incidente o un desastre.
Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e
interrupciones específicas de un sistema o proceso.

Código:
Versión: 1
Fecha: 30/05/13
Página: 6 de 123
Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación,
en caso de interrupción1
.
Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una
afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del
negocio.
Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de
recuperación de cada área, determinando el impacto en caso de interrupción.
Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora
y en el futuro, igual que los recursos necesarios para su uso2
.
Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.
Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser
causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los
intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de
software, entre otros.
Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias
vulnerabilidades con impactos adversos resultantes para la Entidad.
Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los
factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la
naturaleza de la vulnerabilidad.
Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del
riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de
respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación
1
Concepto tomado del Capítulo XXIII – Reglas relativas a la administración del riesgo operativo – de la Circular
Básica Contable de la Superfinanciera.
2
Concepto tomado del Capítulo XII – Requerimientos mínimos de seguridad y calidad en el manejo de
información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica
Jurídica de la Superfinanciera.

Código:
Versión: 1
Fecha: 30/05/13
Página: 7 de 123
física a personas. Mide el nivel de degradación de uno de los siguientes elementos de
continuidad: Confiabilidad, disponibilidad y recuperabilidad.
Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para
minimizar el riesgo o potenciar oportunidades positivas.
Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin
controles.
Riesgo residual: Riesgo remanente tras la aplicación de controles.
5 CAUSAS DE INTERRUPCION
Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones
y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten.
Estas se pueden unificar en los siguientes escenarios:
 Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el
proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.
 No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre
natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre
otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades
propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso
crítico se debe contar con un sitio alterno de trabajo, el cual puede ser:
• Suministrado por la Entidad, Ejemplo: Otra sede.
• Suministrado por un proveedor, contratista o aliado estratégico.
 Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta
falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos
corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
 No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del
proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no
realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el
proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado,
adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el
Icetex.

Código:
Versión: 1
Fecha: 30/05/13
Página: 8 de 123
6 GOBIERNO DE CONTINUIDAD
6.1 LINEAMIENTOS
El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias
para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se
declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su
impacto sobre el negocio.
Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose
en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:
 El plan de continuidad de negocio está orientado a la protección de las personas, así como al
restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos
de interrupción o desastre.
 Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos
definidos y conocer claramente los roles y responsabilidades que le competen en el marco de
la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de
los Planes de Contingencia del Negocio.
 En caso de presentarse un incidente significativo se deben aplicar los mecanismos de
comunicación apropiados, tanto internos como externos, de acuerdo con el manual de
Comunicación en Situaciones de Crisis.
 Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de
la Entidad, con la guía y coordinación de la Oficina de Riesgos.
 Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es
responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios
para el área que representa.
 Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la
siguiente frecuencia:
o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un
Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus
necesidades.

Código:
Versión: 1
Fecha: 30/05/13
Página: 9 de 123
o El monitoreo a los riesgos de continuidad se efectuará de manera semestral.
o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas.
o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como
resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de
contingencia.
 Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en
los Planes de Continuidad del Negocio.
 La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación
de Tolerable.
 Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben
disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe
solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura
del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los
servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos
debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan.
 Los planes de contingencia deben mantenerse actualizados, para lo cual se deben
desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos
en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen
las áreas involucradas.
6.2 NORMAS EXTERNAS
La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se
normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un
Plan de Continuidad de Negocios, que cumplan con los siguientes elementos:
 Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un
proceso para administrar la continuidad del negocio que incluya la prevención y atención de
emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la
operación normal.
 Circular 038/2009 – Sistema de Control Interno: Implementar, probar y mantener un
proceso para administrar la continuidad de la operación de la entidad para responder a las
fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la
normalidad.

Código:
Versión: 1
Fecha: 30/05/13
Página: 10 de 123
 Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y
continuidad debidamente documentados. Las entidades deberán verificar que los planes, en
lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de
buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de
riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e
ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este
documento.
6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO
Para asegurar una adecuada administración de la continuidad del negocio se estableció un
estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de
Proceso, como de la Alta Gerencia. Esa administración está conformada por:
6.3.1COMITE SARO - SARLAFT
La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de
promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO
– SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es
responsable de administrar la continuidad de la operación del Instituto. A continuación se
mencionan los integrantes del comité, su rol y responsabilidad frente a este item:
COMITÉ SARO – SARLAFT ROLES DE CONTINGENCIA
Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad
Jefe de Riesgos Director Alterno de Continuidad
Secretaria General Líder de Administración /Recuperación
Infraestructura Física
Director de Tecnología Líder de Recuperación Tecnológica
Vicepresidente Financiero Coordinadores de Recuperación
Vicepresidente de Crédito y Cobranza
Vicepresidente de Fondos en Administración
Jefe de Control Interno Tareas de apoyo, control y
cumplimiento
Jefe Oficina Asesora Jurídica
Oficial de Cumplimiento
Coordinador de Riesgos de Crédito y Operativo
Jefe oficina Asesora de Comunicaciones (Su participación
será por solicitud del Comité SARO-SARLAFT)
Asesor de Comunicaciones
Roles de Miembros de Comité SARO - SARLAFT

Código:
Versión: 1
Fecha: 30/05/13
Página: 11 de 123
En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios
responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de
Comunicaciones.
A) ROLES Y RESPONSABILIDADES
A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo
respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus
suplentes (alternos) tienen las mismas responsabilidades.
Director de Continuidad
El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de
continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de
interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO-
SARLAFT o en situaciones donde amerite realizar su activación inmediata.
Responsabilidades
 Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de
actualizar, mantener y probar el plan de continuidad.
 Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperación y contingencia de la entidad.
 Liderar las reuniones del Comité SARO – SARLAFT.
 Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la
entidad y que ponen al descubierto debilidades del plan de continuidad.
 Monitorear los reportes sobre el estado de recuperación o evaluación durante una
contingencia.
 Velar por la seguridad del personal que actúa en el área del evento.
 Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario
de interrupción de lugar teniendo en cuenta el resultado de la evaluación
 Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la
contingencia.
Director Alterno de Continuidad
 Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste
no se encuentre disponible.

Código:
Versión: 1
Fecha: 30/05/13
Página: 12 de 123
 Es responsable de declarar la contingencia ante un incidente tecnológico de algún
aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de
Tecnología.
 Realizar las actividades que le sean asignadas por el Director de Continuidad.
Líder Administrativo
El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad
se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las
instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la
operación.
Responsabilidades
 Coordinar el suministro de elementos esenciales como transporte, recursos de
infraestructura y papelería.
 Gestionar la consecución y adecuación de los centros alternos de operaciones según el
plan de operaciones en contingencia.
 Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros.
Líder de Recuperación Tecnológica
Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de
continuidad implementadas. Es el contacto directo entre la Dirección de Tecnología y el
Comité SARO - SARLAFT; además, apoya las decisiones tomadas por el Director de
Continuidad durante la declaración y activación de la contingencia.
Responsabilidades
 Liderar la recuperación tecnológica, basados en las estrategias de continuidad
implementadas.
 Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la
operación normal de la Entidad y que ponen al descubierto debilidades del plan de
continuidad.
 Mantener comunicación constante entre Coordinadores de Recuperación del Negocio
durante el estado de contingencia.
 Colaborar en la comunicación a los proveedores de los temas o servicios de su
competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa
decisión y autorización del Director de Continuidad, mediante comunicado elaborado en
conjunto con la Oficina Asesora de Comunicaciones.
 Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la
recuperación.

Código:
Versión: 1
Fecha: 30/05/13
Página: 13 de 123
 Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten
situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y
responsabilidades, disponibilidad de los recursos, entre otros.
 Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en las mismas.
 Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Coordinadores de Recuperación
Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de
procesos de negocio críticos, basados en las estrategias de contingencia. Son el contacto
directo entre los procesos de negocio y el Comité SARO-SARLAFT; además, colaboran con
las decisiones tomadas por el Director de Continuidad y el Comité SARO-SARLFT durante la
declaración y activación de la contingencia.
Responsabilidades
 Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las
interrupciones que están afectando la prestación del servicio.
 Ejecutar los planes de contingencia ante el incidente presentado.
 Identificar los posibles riesgos que afectan la continuidad de la operación normal de la
Entidad y que ponen al descubierto debilidades del plan de continuidad.
 Mantener comunicación constante durante el estado de contingencia.
 Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se
encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad,
mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones.
 Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la
recuperación de sus áreas.
 Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
 Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
Responsable de tareas de apoyo, control y cumplimiento
Responsabilidades
 Realizar las actividades que le sean asignadas durante la declaración de contingencia.
 Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la
funcionalidad del plan.

Código:
Versión: 1
Fecha: 30/05/13
Página: 14 de 123
Asesor de Comunicaciones
El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar
en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel externo
(clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual
de gestión de la comunicación en situaciones de crisis.
Responsabilidades
 Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en
temas de comunicación en momentos de crisis.
B) LINEA DE SUCESION
Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus
alternos en caso de que estos no puedan asumir las actividades y/o tareas.
CARGO PRINCIPAL CARGO ALTERNO
Presidente del Icetex o su delegado, quien
presidirá el Comité
Jefe de Riesgos
Jefe de Riesgos Director de Tecnología
Secretaria General Asesor Técnico de Secretaria General
Director de Tecnología Coordinador de Infraestructura
Vicepresidente Financiero Director de Contabilidad
Vicepresidente de Crédito y Cobranza Director de Cobranzas
Vicepresidente de Fondos en Administración Analista de Vicepresidente de Fondos en
Administración
Jefe de Control Interno Coordinador de la Oficina de Control Interno
Jefe Oficina Asesora Jurídica Analista de Oficina Asesora Jurídica
Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo
Coordinador de Riesgos de Crédito y
Operativo
Analista de Plan de Continuidad de Negocios
Línea de sucesión
6.3.2 LIDERES PCN
Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la
administración del plan de continuidad sobre los procesos / procedimientos a cargo:
 Actuar como punto focal del área para todos los asuntos de continuidad del negocio.
 Cumplir con las actividades y fechas establecidas del Cronograma de PCN.
 Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de
contingencia que les compete.
 Asegurar la aplicación correcta de los PCN al interior del área.

Código:
Versión: 1
Fecha: 30/05/13
Página: 15 de 123
 Revisar el impacto en el área durante el incidente.
 Mantener actualizados los documentos de PCN del área (BIA, Estrategia de Recuperación,
Cascada telefónica, Análisis de Riesgos. etc).
En el Anexo No. 8.6.1 se encuentra la Relación de los Líderes de PCN y Líderes de Proceso
del Icetex.
6.3.3 OFICINA DE RIESGOS
La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad:
 Definir e implementar los instrumentos, metodologías y procedimientos tendientes a
gestionar efectivamente el PCN.
 Suministrar los programas de capacitación de PCN.
 Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área.
 Guiar en el desarrollo de las diferentes etapas del PCN.
6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE
La Administración del Plan de continuidad del Negocio está conformada por los siguientes
elementos:
 Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no
disponibilidad del sitio normal de trabajo y no contar con los proveedores críticos del negocio.
 Planes de Recuperación de Desastres – DRP, el cual contempla las diferentes estrategias
definidas para la recuperación de los sistemas.
 Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la
reanudación oportuna y ordenada de los procesos del negocio
6.5 ENTRENAMIENTO
En el éxito del Plan de Continuidad es fundamental contar con la participación y el compromiso
del personal involucrado en el mismo. La administración de continuidad debe asegurar que todos
los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso
de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que
serán los encargados de ponerlos en funcionamiento en caso de presentarse un evento no

Código:
Versión: 1
Fecha: 30/05/13
Página: 16 de 123
deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los
responsables de la correcta ejecución de los planes.
La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo
el personal a través de la Secretaria General Grupo de Talento Humano.
Dentro de la política de capacitación se contempla suministrar a todos los funcionarios
capacitación anual de Plan de Continuidad de Negocios a través de la herramienta e-Learning,
así como en el proceso de inducción.

Código:
Versión: 1
Fecha: 30/05/13
Página: 17 de 123
7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL
NEGOCIO
La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son:
7.1 FASE DE PREVENCION
En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan
los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto.
Está conformada por las siguientes etapas:
7.1.1ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA
A) CONCEPTO
El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una
etapa que permite identificar la urgencia de recuperación de cada área, determinando el
impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos
críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus
proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad
puede tolerar en caso de un incidente o desastre.

Código:
Versión: 1
Fecha: 30/05/13
Página: 18 de 123
B) OBJETIVO
El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperación de
Negocios, es la guía que determina qué necesita ser recuperado y el tiempo requerido para
recuperación.
C) ALCANCE
A través del desarrollo del BIA se obtiene la siguiente información:
 Evaluación de los procedimientos, donde se establece cuáles son primordiales para la
continuidad de la Entidad.
 Determinación de los impactos de una interrupción y cuando empiezan.
 Priorización y establecimiento del período de tiempo en el que los sistemas, aplicaciones y
funciones deben ser recuperados después de una interrupción (RTO).
 Determinación del orden de recuperación.
 Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una
interrupción en los sistemas de información (RPO).
 Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel
de: Tecnología, personal, infraestructura y soporte proveedores.
D) FASES DEL BIA
Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir
con los siguientes pasos:
i. PLANEACION
Contempla los aspectos para el correcto y completo desarrollo del BIA, como son:
Identificación Procesos y Procedimientos: Obtener la relación de los procesos y
procedimientos para realizar la Evaluación BIA.
Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el
Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.

Código:
Versión: 1
Fecha: 30/05/13
Página: 19 de 123
ii. METODOLOGIA BIA
Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se
soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación.
Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause
pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En
caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica
de la Entidad.
La metodología establece el diligenciamiento del “Documento BIA” (ver anexo No. 8.5.1), el
cual es aplicado para cada una de los procedimientos que se realizan en la Entidad,
utilizando el mismo patrón de calificación. A continuación se detalla el “Documento BIA”
diseñado en la herramienta Excel:
CUESTIONARIO DE EVALUACION BIA
Permite analizar los impactos que puede causar el no ejecutar un procedimiento por
encontrarse ante un incidente o desastre. Los impactos contemplados son:
 Regulatorio/ Legal: Incluye pérdidas por no presentar reportes financieros o de
impuestos en las fechas indicadas, demandas o penalizaciones al incumplir
requerimientos obligatorios en las actividades de la Entidad.
 Financiero: Incluye pérdida de ingresos, pérdida de intereses, costos de pedir dinero
prestado para hacer caja, pérdida de ingresos por préstamos no realizados,
penalizaciones por no cumplir compromisos contractuales o niveles de servicio y
pérdidas de oportunidades durante el tiempo inoperante.
 Reputacional: Incluye la pérdida de confianza por parte de los clientes, del mercado y de
los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el
servicio, apariciones en las noticias por quejas de los clientes y pérdida de reputación.
 Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y
oportuna atención a las necesidades de los usuarios.
 Operativo: Incluye la suspensión de la operación y los reprocesos que ello puede
ocasionar.
Para responder las preguntas se debe tener en cuenta la tabla del numeral 8.4.4 de este
documento denominada “Criterios del Impacto”. La escala de valoración del impacto es la
siguiente:
Legal Económico Servicio al Cliente Reputacional Procesos
20 20 40 15 5

Código:
Versión: 1
Fecha: 30/05/13
Página: 20 de 123
Escala de Valoración del Impacto
El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar
antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo
de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede
permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información
relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría
de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los
clientes por dejar de realizar el procedimiento ante una interrupción.
Adicional, existe la pregunta referente a sí el procedimiento analizado proporciona
información crítica para cualquier otro procedimiento, con el fin de determinar
interdependencias.
Como resultado de la evaluación se genera las siguientes valoraciones:
 Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados
por no ejecutarse el procedimiento. Esto se deriva a través de la realización del
cuestionario BIA.
 Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una
interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y
recuperación de las actividades críticas para evitar un impacto significativo.
 Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que
impulsa el establecimiento de prioridades de recuperación durante una situación difícil.
La tabla de valoración establecida es la siguiente:
Tabla de valoración del BIA
Esta información será el punto de partida para desarrollar las estrategias de recuperación.
Calificación BIA
Tiempo Objetivo de
Recuperación (RTO)
Valor del BIA
N - 1AAA 4 Horas Misión Critica
N - 1AA 8 Horas Misión Critica
N - 1A 24 Horas Masivo
Nivel 2 48 Horas Masivo
Nivel 3 7 días Medio
Nivel 4 14 días Medio
Nivel 5 30 días Bajo
Nivel 6 > 30 días Insignificante
Tabla Valoración del BIA

Código:
Versión: 1
Fecha: 30/05/13
Página: 21 de 123
Determinación del Punto de Recuperación Objetivo de la información – RPO: El
parámetro de Punto de Recuperación Objetivo de la Información determina la periodicidad
con la que deben salvaguardarse los datos de los procesos del negocio; cuánto más
pequeño sea el RPO más sólido debe ser el mecanismo de protección de datos (backup,
replicación online, etc).
El cuestionario de Evaluación BIA contiene la pregunta dirigida a establecer el Punto
Objetivo de Recuperación (RPO) por procedimiento, la cual permite establecer el apetito de
riesgo de pérdida de información ante un incidente tecnológico.
Los parámetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que
utilice la Entidad.
Requerimientos Infraestructura: El análisis de los procedimientos está acompañado de
la identificación de los requerimientos de personal, recursos y facilidades necesarias para
su operación ante un evento de contingencia.
Para ello, se tiene dispuesto la hoja de Cálculo “Requerimientos Tecnológicos” del
documento BIA, donde el Líder de PCN diligencia la información referente a:
 Número de colaboradores de tiempo completo para ejecutar el proceso.
 Recurso humano requerido en contingencia.
 Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se
determina la criticidad de los aplicativos del Icetex.
 Elementos logísticos como son: teléfono, impresora, escáner etc.
 Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta
compartida del área.

Código:
Versión: 1
Fecha: 30/05/13
Página: 22 de 123
Información de Proveedores Externos: El BIA identifica la relación del procedimiento con
proveedores externos y en la hoja de cálculo denominada “Información Proveedores” del
“Documento BIA” se mencionan los proveedores críticos.
APROBACION DE LA EVALUACION
Cada procedimiento evaluado por la metodología BIA es revisado, analizado y aprobado
por el Líder del Proceso y como evidencia se genera el documento “Resultados del Análisis
de Impacto de Negocio (BIA)”, el cual es firmado por el Líder de Proceso y Líder de PCN
del área.
iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS
Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la
Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben
ser informados al Comité SARO – SARLAFT:
 Número de procesos y procedimientos evaluados.
 Clasificación de los procedimientos por calificación BIA.
 Establecimiento de los procedimientos críticos de la Entidad, de acuerdo con la
calificación BIA.
 Cantidad de recursos humanos requeridos en contingencia: Número de personas que
apoyan la contingencia ante una interrupción de las operaciones.
 Recursos de Bienes Muebles clasificado por calificación BIA: Se establecen los bienes
muebles necesarios en la contingencia, como son: Computadores, teléfonos, escáneres,
impresoras y otros elementos necesarios en contingencia.
 Dependencia de los proveedores externos en los procesos prioritarios: Definir los
proveedores críticos con el fin de involucrarlos en la estrategia de PCN.
 Recursos Tecnológicos: Es necesario suministrar la información de:
 Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada
procedimiento, con el fin de contar con la información necesaria para el alistamiento
de los computadores que se disponen como contingencia en el escenario de
Interrupción de Lugar. Adicionalmente, esta es la fuente para establecer el orden de
criticidad de los aplicativos.
 El punto objetivo de recuperación (RPO): Con el fin de establecer las estrategias de
backup adecuadas para garantizar que en caso de caída y daño de los data files en
una base de datos, se restaure la información con el mínimo de pérdida.
En el Anexo No.8.6.2 describe el resultado de la última Evaluación del BIA.

Código:
Versión: 1
Fecha: 30/05/13
Página: 23 de 123
7.1.2ETAPA DE ANALISIS DE RIESGOS
En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas,
sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la
Entidad, con el fin de medir el nivel del riesgo.
A) OBJETIVOS
La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una
amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de
desastre o una interrupción significativa en los servicios.
B) METODOLOGIA DE ANALISIS DE RIESGO
A continuación se detalla la Metodología de Análisis de Riesgos, la cual cubre los aspectos
relacionados a continuación:
 Identificación de riesgos de continuidad
 Cálculo del riesgo inherente
 Evaluación de controles
 Cálculo del riesgo residual
 Tratamiento del riesgo residual
IDENTIFICACION DEL RIESGO
El Líder de PCN de cada Área en conjunto con el Analista encargado de la Oficina de
Riesgos procede de la siguiente manera:
1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de
Análisis de Impacto del Negocio (BIA).
2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que
también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA).
3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para
ello, es necesario tomar como guía el anexo No. 8.4.1 denominado “Tipos de Amenazas”,
donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si
tales situaciones pueden darse en el proceso analizado.

Código:
Versión: 1
Fecha: 30/05/13
Página: 24 de 123
4. Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada.
Para identificarla es necesario responder esta pregunta: ¿Cómo puede ocurrir una
amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la
misma, evaluando si dentro del Instituto puede darse esa circunstancia.
Se recomienda utilizar como guía con el anexo No. 8.4.2 denominado “Tabla de
Vulnerabilidades”, donde se encuentra una relación de debilidades que podrían llegar a
generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía
pudiendo incluirse muchas otras situaciones de debilidades.
5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad.
6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo
con la tabla 8.4.2:
 Personas
 Infraestructura física
 Infraestructura de tecnología de información
 Procesos
CALCULO DEL RIESGO INHERENTE
El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el
impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En
consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los
numerales 8.4.3 “Criterios de Frecuencia” y 8.4.4 “Criterios de Impacto”, las cuales contienen
los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar
la evaluación.
 Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la
siguiente escala de medición:
Escala de medición
1 2 3 4 5
Muy baja Baja Moderada Alta Muy alta
Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en
las diferentes vulnerabilidades que conforman el riesgo.
 Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de
afectación sobre los siguientes factores de influencia:

Código:
Versión: 1
Fecha: 30/05/13
Página: 25 de 123
Impactos
Regulatorio/
Legal
Financiero Servicio al
cliente
Reputacional Operativo Humano Infraestructura
Para establecer el resultado del impacto para cada riesgo se toma la calificación del
cuestionario BIA.
Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos
puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la
Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente
máximo es 25 y el mínimo es 1.
EVALUACION DE LOS CONTROLES
Este proceso permite evaluar todos los controles asociados a las vulnerabilidades
identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de
control para poder dar un adecuado tratamiento al riesgo.
Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales
se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100.
El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables:
 Control no documentado, no aporta valor al total del criterio.
 Control documentado, aporta al total del criterio una calificación de 8 puntos.
 Control aprobado, aporta al total del criterio una calificación de 8 puntos.
 Control divulgado, aporta al total del criterio una calificación de 4 puntos, para un total de
20 puntos.
El segundo criterio es la Aplicación, el cual aporta un total de 30 puntos, siendo necesario
seleccionar una de las tres (3) opciones, así:
 El control nunca se aplica, no aporta valor al total del criterio.
 Se aplica a discreción, arroja una calificación de 10.
 Se aplica siempre, tiene una calificación de 30.
Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:

Código:
Versión: 1
Fecha: 30/05/13
Página: 26 de 123
 Comprobada la efectividad, donde se debe contar con la evidencia física que dada la
aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es
de 50 puntos.
 Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en
cuanto a la efectividad del control es positiva. La calificación es de 30 puntos.
 Percepción negativa, donde la percepción del experto es negativa en cuanto a la
efectividad del control. La calificación es de 10 puntos.
 Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo
para la prevención y detección de riesgos, dándole una calificación 0 puntos.
La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente
tabla:
Calificación del Control
Los controles se clasifican en:
 Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con
que ocurren las causas del riesgo.
 Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino
que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen
acciones sobre tales detecciones.
 Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los
eventos que ponen en riesgo el logro de los objetivos del proceso.
Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se
agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual
manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.
CUADRANTES A DISMINUIR EN
LA FRECUENCIA
CUADRANTES A DISMINUIR EN
EL IMPACTO
Entre 0 - 50 0 0
Entre 51 - 75 1 1
Entre 76 - 100 2 2
DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O
IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION,
EVALUACION Y RESPUESTA A LOS RIESGOS
RANGO DE
CALIFICACION DE
LOS CONTROLES

Código:
Versión: 1
Fecha: 30/05/13
Página: 27 de 123
CALCULO DEL RIESGO RESIDUAL
Luego de la valoración de los controles se identifica el efecto de mitigación en frecuencia e
impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo
residual, así:
 Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla
“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna
“Cuadrantes a disminuir en la frecuencia”. Este valor se resta a la frecuencia obtenida en
riesgo inherente.
 De igual manera se procede con los controles dispuestos para disminuir el impacto del
riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla
“Calificación del Control”, estableciendo el efecto de mitigación que indica la columna
“Cuadrantes a disminuir en el impacto”. Este valor se resta al impacto obtenido en riesgo
inherente.
 Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los
controles, obteniendo así el Riesgo Residual.
 El Riesgo Residual se ubica en la siguiente Escala de Clasificación del Riesgo:
Rango de calificación
de controles
Frecuencia
Cuadrante a
disminuir en la
Frecuencia
Valor Frecuencia
Residual
80 puntos 4 2 2
Calificación control
sobre Impacto
Impacto Efecto mitigación
Valor Impacto
Residual
60 puntos 3 1 2
NIVEL CLASIFICACIÓN
0-3 Aceptable
4-6 Tolerable
7-15 Grave
16-25 Critico
Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual
4 3 12 2 2 4

Código:
Versión: 1
Fecha: 30/05/13
Página: 28 de 123
 Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en
cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles:
TRATAMIENTO DEL RIESGO RESIDUAL
A partir de la evaluación y análisis de los riesgos, se priorizan de mayor a menor “criticidad”, a
fin de tomar decisiones de cómo actuar sobre los mismos. Esta metodología pretende actuar
sobre los riesgos que estén fuera del rango de aceptabilidad. El tratamiento del riesgo residual
debe ir orientado a cualquiera de las siguientes opciones:
 Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión
administrativa.
 Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la
implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o
minimizar la severidad de su impacto.
 Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en
diversos lugares, procesos o personas.
 Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la
responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias
financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el
impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros,
Subcontrataciones.
0
1
2
3
4
5
0 1 2 3 4 5
FRECIUENCIA
IMPACTO

Código:
Versión: 1
Fecha: 30/05/13
Página: 29 de 123
 Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son
atractivos en relación con los riesgos involucrados.
Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder
de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad
a través de la creación de nuevos controles o la implementación de modificaciones a los
controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se
reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones
respectivas para su tratamiento y mitigación.
Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por
los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento
en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de
realizar la respectiva reclasificación y acordar acciones.
C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD
Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para
determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se
requieren para la continuidad del negocio.
El Líder de PCN efectúa seguimiento permanente sobre la implementación de los planes de
acción y la verificación de la efectividad de los controles y a la vez identificando nuevos
riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Líder de
PCN de cada una de las áreas con apoyo del Funcionario Responsable en la Oficina de
Riesgos y éste es aprobado por el Líder del Proceso. Este monitoreo se realiza en la Matriz
de Riesgo de PCN.
Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las
medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al
riesgo fijado por la Entidad.
D) REPORTE DE INCIDENTES DE CONTINUIDAD
Los incidentes que afecten la continuidad de la operación deben ser reportados por los
Líderes de PCN a la Oficina de Riesgos, a través del formato “Reportes de Incidentes de
Contingencia” (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la
ocurrencia del hecho.

Código:
Versión: 1
Fecha: 30/05/13
Página: 30 de 123
7.1.3ETAPA DE ESTRATEGIA
A) CONCEPTO
Corresponden a las acciones que se deben tomar con el objetivo de restablecer las
operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o
falla en los procesos o funciones críticas.
Es necesario identificar las diferentes estrategias de continuidad y seleccionar las más
adecuada para la institución, para lo cual el Líder de PCN de cada área junto con el
Profesional del tema en la oficina de Riesgos analizarán las variables de:
 La criticidad del proceso a proteger
 El costo de la estrategia
 El tiempo de recuperación objetivo (RTO)
B) OBJETIVOS
 Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible,
con un aceptable nivel de servicio.
 Garantizar que los Empleados:
 Estén protegidos
 Comprenden su papel
 Saben a dónde ir
 Saben qué hacer
 Saben qué recursos necesitan
 Entienden la secuencia de las tareas críticas
 Ayudar a planificar la recuperación y reanudación de las operaciones.
 Validar asuntos de recuperación de la Entidad, como:
 Necesidades de telecomunicaciones durante y después del desastre.
 Lugar alterno para continuidad/recuperación y reanudación.
C) ALCANCE
La selección de los métodos alternativos de operación que deben ser utilizados ante una
interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.

Código:
Versión: 1
Fecha: 30/05/13
Página: 31 de 123
Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son:
 Ausencia de personal
 Sitio alterno
 Fallas tecnológicas
D) ESTRATEGIAS POR AUSENCIA DE PERSONAL
Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de
comunicación:
 El colaborador ausente activa la Cascada Telefónica y se comunica con el Jefe inmediato.
 El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por
“Ausencia de Personal”. Distribuye procesos claves o asigna funciones al colaborador Back
- up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de
perfiles, a través del formato F121 “Formato asignación de accesos a sistemas de
información.
 El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos.
El documento denominado Cascada Telefónica cuenta con la información básica de los
colaboradores y proveedores con el ánimo de utilizarlos en un evento de contingencia, como
es:
Funcionarios: Mantener la información de los colaboradores permite comunicarse con ellos en
el evento que se encuentren fuera de las instalaciones.
Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la
información de contacto.
Cada área cuenta con la información de “Cascada Telefónica”, la cual está conformada por:
 Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de
teléfono personal y sí fue definido como personal crítico para operar la contingencia o no.
Se encuentran descritos en el orden que serán llamados ante un evento.

Código:
Versión: 1
Fecha: 30/05/13
Página: 32 de 123
 Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la
ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán
en la contingencia por cada procedimiento.
 Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor,
nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto
personal, teléfono de la oficina y móvil y correo electrónico.
En el numeral 8.5.3 se encuentra el formato de Cascada Telefónica. La información de
Cascada Telefónica de cada área la conserva el Líder de PCN y la consolidación de la misma
reposa en la Oficina de Riesgos.
E) ESTRATEGIA DE SITIO ALTERNO
La alternativa de traslado del personal se presenta en el evento que los funcionarios no
puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de
contingencia permitiendo la continuidad de las operaciones de los procesos críticos del Icetex
desde un sitio alterno de operación.
Las alternativas podrán ser usadas simultáneamente dependiendo de la disponibilidad del
proveedor en el momento de la interrupción del Icetex, además depende de la activación y
numero de procesos que se activen según el evento y el día en que se presente.
El numeral 8.3.1 “Procedimiento de Estrategia de Sitio Alterno”, aporta las actividades que se
deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones
alterno.
F) ESTRATEGIA TECNOLOGICA
La contingencia se presenta cuando el hardware y/o software presenta fallas, o por
interrupción prolongada de telecomunicaciones.
La Dirección de Tecnología tiene estructurado el siguiente Plan de Continuidad para los
aplicativos e infraestructura de la Entidad:

Código:
Versión: 1
Fecha: 30/05/13
Página: 33 de 123
Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de
contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos),
como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen.
El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este
documento.
Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por
problemas en los sistemas, descrito en el numeral 8.3.2.
G) ESTRATEGIA CONTINGENCIA MANUAL
Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para
operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se
estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que
permitan operar sin un sistema base.
Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias
manuales que se disponen en el numeral 8.2 de este documento.
Red
Centro
Computo
Servidor
 Switches
 Centro cableado
 HUB
 Firewall
 C&CTEX
 Apoteosys
 Mercurio
 Cobol
 Bizagi
 Sevimpro
 Correo
Electrónico
APLICATIVOS
 RED LAN
 RED WAN
Telecomunicaciones
 ETB
 Routers
 Enlaces
 Aire acondicionado
 Sistema de incendio
 Sistema eléctrico
 UPS
 Base de datos
 Sistema operativo – Software base de datos
 Servidor
 Hardware
INFRAESTRUCTURA

Código:
Versión: 1
Fecha: 30/05/13
Página: 34 de 123
7.1.4ETAPA DE PRUEBAS
A) CONCEPTO
Consiste en probar la efectividad de las estrategias diseñadas y permitir el continuo
mejoramiento del PCN de la Entidad. Esta etapa le da a la Institución la oportunidad de
identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser
atendidas, preparando el negocio para la emergencia real.
B) OBJETIVOS
 Practicar los procedimientos ante un incidente o desastre.
 Identificar áreas que necesitan mejora.
 Permitir al PCN permanecer activo, actualizado, entendible y usable.
 Demostrar la habilidad de recuperación.
C) ALCANCE DE LAS PRUEBAS
Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación
normal sean mínimas y deben comprender los elementos críticos y simular condiciones de
proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir
las siguientes tareas:
 Verificar la totalidad y precisión del Plan.
 Evaluar el desempeño del personal involucrado.
 Evaluar la coordinación entre los miembros del grupo de contingencia, proveedores y otros
terceros.
 Identificar la capacidad de recuperar registros e información vital.
 Medir el desempeño de los sistemas operativos y computacionales.
Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados,
planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una
revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.

Código:
Versión: 1
Fecha: 30/05/13
Página: 35 de 123
D) TIPO DE PTUEBAS
En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las
pruebas del plan de continuidad de negocio del Icetex:
E) PLAN DE PRUEBAS
Para la realización de una Prueba de Estrategia de Continuidad es necesario diligenciar el
documento “Plan de Pruebas” (ver anexo No. 8.5.4), conformado por los siguientes pasos:
 Guion de pruebas: Es el documento mediante el cual se plasma la intención de efectuar la
revisión de la estrategia de continuidad estimada para el proceso o servicio determinado,
donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de
interrupción, los resultados esperados, los integrantes de las pruebas y los riesgos
asociados a la ejecución de la prueba. Este documento debe desarrollarlo previo a la
ejecución de la prueba el Líder de PCN responsable del proceso a probar con la guía del
funcionario encargado en la Oficina de Riesgos.
 Paso a paso de la planeación: Este documento relaciona las actividades a efectuar durante
la prueba, indicando además los responsables de realizar tales actividades así como los
recursos mínimos necesarios y los tiempos de su realización, para la estimación completa
TIPO DE
PRUEBA
TECNICA
UTILIZADA
OPERACIÓN
Integrada  Creación de un
escenario
 Seguimiento en
vivo de todas las
estrategias re
recuperación
 Con previo aviso.
 Apoyo de los
proveedores de
recuperación
Prueba integrada con todos los
elementos que hacen parte del
plan de contingencia.
Componentes  Creación de un
escenario
 Seguimiento de
las estrategias de
recuperación
 Con previo aviso.
Se ejecutan las estrategias y
procedimientos de recuperación
de cada uno de los componentes
de la infraestructura tecnológica.
Escritorio  Con previo aviso.
 Creación de un
escenario.
Se realiza un ejercicio de papel
de un escenario de desastre que
toma lugar en un salón de
conferencia.
Prueba
Integrada
Pruebas
Componentes
Pruebas de
Escritorio

Código:
Versión: 1
Fecha: 30/05/13
Página: 36 de 123
del tiempo de la prueba. Adicional, se deben mencionar los aspectos adicionales que son
necesarios para la adecuada realización de la prueba. Al igual que en el anterior ítem, este
informe debe ser adelantado previo a la ejecución de la prueba por el Líder de PCN
responsable del proceso a probar con la guía del funcionario encargado en la Oficina de
Riesgos.
 Paso a paso de la ejecución: Este documento contiene las actividades realizadas en el
desarrollo de la prueba, que deben ser semejantes a las planeadas a menos que se
presenten algún incidente dentro de la prueba. Adicionalmente, se describen los recursos
mínimos necesarios, los responsables y los tiempos de ejecución de las actividades. Este
informe es elaborado en el momento de la prueba por el Líder de PCN responsable del
proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos.
 Paso a paso del retorno: En este reporte se relacionan las actividades que se ejecutan
para retornar a la operación normal, caso devolución a los puestos de trabajo, captura de
las operaciones que no se procesaron en un aplicativo, entre otras.
 Encuesta de satisfacción: Este informe lo realizan diferentes integrantes de la prueba,
donde se busca determinar el grado de satisfacción de la prueba. La conforman aspectos
como: duración de la prueba, preparación de la prueba y la comunicación de la misma, y
dificultades que se identificaron.
 Acta de reunión: En este documento se establecen los objetivos, conclusiones de la
prueba, las actividades sobresalientes resultantes y/o pendientes a considerar, los logros
obtenidos en la ejecución de la prueba y los riesgos asociados identificados en la ejecución
de la prueba, así como las acciones mitigantes que mejorarán la estrategia de continuidad
del proceso revisado. Este informe debe ser firmado por cada uno de los integrantes a la
prueba.
Luego de cada prueba el Jefe de Riesgos debe enviarse copia del documento “Acta de
reunión” dirigido a los participantes y al jefe responsable de proceso.

Código:
Versión: 1
Fecha: 30/05/13
Página: 37 de 123
7.1.5ETAPA DE MANTENIMIENTO
A) CONCEPTO
Es la revisión periódica de lineamientos, estrategias, técnicas y planes, capacitación a
personal para que el PCN permanezca actualizado con el objetivo de ser capaz de lograr la
recuperación de actividades de misión crítica dentro de los objetivos de tiempo de
recuperación asegurando una continuidad de sus servicios y productos.
B) OBJETIVOS
 Verificación y validación de lineamientos, estrategias y planes de PCN.
 Detalles de todos los cambios de estrategias del PCN con el historial de control de
versiones.
C) FACTORES DE ACTUALIZACION
Pueden ocurrir ciertos eventos no programados al interior del Icetex o fuera de éste, que
afectan el PCN. A continuación se relaciona una lista de eventos que pueden generar una
revisión al PCN:
 Requerimientos legales.
 Nuevos productos.
 Nuevo hardware, plataformas, aplicativos u otros cambios de tecnología (Sistemas
Operativos, Bases de Datos).
 Cambios en las telecomunicaciones (voz o datos).
 Quiebra y/o cambio de un proveedor crítico.
 Cambio de instalaciones.
 Cambios en el personal o reubicación del mismo.
 Transferencia de funciones entre sitios existentes.
 Consolidación o tercerización de funciones.
 Cambios en proveedores externos críticos.
 Resultados de las pruebas del Plan de Continuidad del Negocio.
 Cambios en el Sistema de Gestión de Calidad y Procesos.

Código:
Versión: 1
Fecha: 30/05/13
Página: 38 de 123
7.2 FASE DE ADMINISTRACION DE CRISIS
7.2.1 CONCEPTO
En esta fase se gestiona efectivamente el manejo de la crisis, durante y después de la misma; un
buen manejo de la crisis minimiza los impactos de una interrupción.
7.2.2OBJETIVOS
 Integrar los procedimientos de continuidad del negocio con los procedimientos de respuesta.
 Identificar tipos de emergencias y las respuestas necesarias.
7.2.3ALCANCE
Este plan de administración de crisis se ejecuta teniendo como premisa las decisiones del
Comité SARO- SARLAFT. Todas las comunicaciones serán dirigidas por el responsable de
comunicaciones del Instituto y se apoyarán en el Manual de gestión de la comunicación en
situaciones de crisis.
Los documentos indicados en los numerales 8.3.1 y 8.3.2 “Escenario de contingencia a sitio
alterno” y “Manejo de incidentes por problemas en los sistemas”, sintetizan esta fase, la cual está
conformada por las siguientes etapas:
Etapa de Evaluación: La evaluación constituye la etapa de valoración preliminar de un evento de
interrupción que afecta de forma considerable la Entidad. La evaluación se hace en sitio,
teniendo en cuenta los perfiles y competencias necesarios para determinar: causa de la
interrupción, población de usuarios afectada, apreciación de la magnitud, valoración del daño,
escenario de soluciones, recursos involucrados y tiempo estimado de la solución.
Etapa de Activación: Se describen las actividades requeridas para declarar y comunicar el
desastre de forma tal que se active la contingencia y se comunique la interrupción a los equipos
responsables de recuperar el servicio.
Etapa de Retorno a la Normalidad: Consiste en definir la forma y/o procedimientos a utilizar para
restaurar la operación a la normalidad, una vez superada la contingencia y recuperados los
servicios de la entidad.

Código:
Versión: 1
Fecha: 30/05/13
Página: 39 de 123
8 ANEXOS
8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA
 Estrategia PCTI – Base de Datos
 Estrategia Red WAN
 Estrategia Red LAN – Switches
 Estrategia – Sistema Operativo – Software de Base de Datos

Código:
Versión: 1
Fecha: 30/05/13
Página: 40 de 123
ESTRATEGIA TECNOLÓGICA DE BASE DE DATOS
1. OBJETIVO
Recuperar un servidor de base de datos por daño en el sistema manejador de la base de datos que se
encuentra en el centro de cómputo ICETEX.
2. ALCANCE
El procedimiento aplica para los siguientes escenarios:
 Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por una
base de datos.
 Falla a nivel de Software de Base de datos.
3. CONDICIONES GENERALES
Para llevar a cabo el siguiente procedimiento es necesario tener los siguientes recursos disponibles:
 Contrato vigente de soporte y Carta de Servicio ORACLE o MS SQL Server
4. DESCRIPCIÓN
DIAGRAMA DE FLUJO

Código:
Versión: 1
Fecha: 30/05/13
Página: 41 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
No.
Act
Descripción de la
Actividad
Observaciones Responsable
Recursos
requeridos y
ubicación
1
Identificar la falla y
realizar un
diagnóstico interno
Administrador de la
base de datos
2
Llamar al
CONTRATISTA
responsable del
mantenimiento
Llamar a las líneas: Las que se
encuentren en el documento de
contacto del CONTRATISTA ubicada en
carpetas compartidas de la Dirección de
Tecnología (Continuidad_de_negocio)
Administrador de la
base de datos
Contrato
3
Diagnóstico de la
situación.
Se efectúa un diagnóstico del estado de
la base de datos.
Administrador de la
base de datos y/o
contratista
4
¿Se puede
recuperar el servicio
en la misma
máquina?
De acuerdo al diagnóstico se decide
sobre el mejor procedimiento para
restablecer el servicio. En caso
afirmativo pasa al punto 5 de lo
contrario al punto 6.
Administrador de la
base de datos y/o
contratista
5 Proceder a Se restablece el servicio en el mismo Administrador de la

Código:
Versión: 1
Fecha: 30/05/13
Página: 42 de 123
restablecer el
servicio
servidor y se pasa al paso 10 base de datos y/o
contratista
6
Recuperar la hoja de
vida de la base de
datos
La extraerá del repositorio
Continuidad_de_negocio de plantillas de
hojas de vida de las bases de datos.
Administrador de la
base de datos,
Coordinador de
infraestructura, o el
Director de tecnología
7
Crear la base de
datos en el servidor
de contingencia.
Toma la hoja de vida y con los
comandos de la consola de
administración crea la base de datos
con los parámetros descritos en la hoja
de vida.
Administrador de la
base de datos.
8
Recuperar ultima
copia de la base de
datos.
Tomar ultima copia de seguridad
disponible de la base de datos y
proceder a su restauración en la base
de datos creada recientemente.
Administrador de la
base de datos.
9
Definir los usuarios
del sistema en el
nuevo servidor.
Tomar de la hoja de vida los usuarios
requeridos para su correcto
funcionamiento y definirlos asignándoles
los perfiles requeridos
Administrador de la
base de datos.
10
Verificar que la base
de datos opera
adecuadamente.
Si los resultados son satisfactorios se
sigue al paso 11, sino vuelve al paso 4.
Administrador de la
base de datos
11
Se informa al
Coordinador de
Infraestructura o al
Director de
Tecnología del
restablecimiento del
servicio
Reporte de funcionamiento y se
documenta el proceso efectuado.
Administrador de la
base de datos.
12
Reporte de servicio
restablecido.
El Coordinador de Infraestructura o el
Director de Tecnología, informan que la
contingencia ha sido superada.
Coordinador de
Infraestructura,
Administrador de la
Red o el Director de
Tecnología
5. SEGUIMIENTO Y CONTROL
ACTIVIDAD A
CONTROLAR
COMO EJERCER
EL CONTROL
EVIDENCIA DEL
CONTROL
RESPONSABLE
6. HISTORIA DEL DOCUMENTO
VERSIÓN FECHA OBSERVACIÓN
V1 10/12/2012 Creación del documento.

Código:
Versión: 1
Fecha: 30/05/13
Página: 43 de 123
ESTRATEGIA TECNOLÓGICA DE RED WAN
1. OBJETIVO
Recuperar un enlace de comunicación entre una sede regional y el nodo central
2. ALCANCE
 Daños o fallas en algún enlace que afecte servicios dentro de los cuales esta soportado por la red
WAN.
3. DEFINICIONES
N/A
 Contrato vigente de soporte y Carta de Servicio proveedor de servicio de la red (Ver Anexo)
5. DESCRIPCIÓN
DIAGRAMA DE FLUJO

Código:
Versión: 1
Fecha: 30/05/13
Página: 44 de 123
ACTIVIDADES
ACTIVIDADES Ó TAREAS
No.
Act
Descripción de
la Actividad
Recursos
requeridos y
ubicación
1
Identificar la
falla y realizar
un diagnóstico
interno
Profesional Dirección de
tecnología y Proveedor de
servicios de la red
2
Llamar al
CONTRATISTA
Llamar a las líneas:
- Las que se encuentren en el
documento de contacto del
CONTRATISTA ubicada en
carpetas compartidas
continuidad_de_negocio
contactos
Coordinador de Infraestructura
o Profesional de Dirección de
tecnología
Contrato
(Anexo 1)
3
Diagnóstico de
la situación por
parte del
administrador
de la red o del
contratista
Se efectúa un diagnóstico del estado
del enlace de comunicaciones.
tecnología o contratista
4
Se puede
recuperar el
servicio
empleando el
canal de
contingencia
restablecer el servicio
5
Proceder a
restablecer el
servicio
Se restablece el servicio y se pasa al
paso 7
6
Establecer canal
de
comunicación
alterno
Enviar equipo de trabajo, revisar el
enrutador, el enlace, canal
Contratista
7
Validar la
configuración
Establecer QoS, parámetros de
configuración, enrutamiento, etc
Contratista
8
Verificar que el
enlace opera
adecuadamente
Si los resultados son satisfactorios
se sigue al siguiente paso sino
vuelve al paso No 5 y verifica
9
Se informa al
Coordinador de
infraestructura o
al Director de
tecnología, del
documenta el proceso efectuado
tecnología

Código:
Versión: 1
Fecha: 30/05/13
Página: 45 de 123
restablecimiento
del servicio
10
Reporte de
servicio
restablecido
El Coordinador de infraestructura o el
Director de tecnología, informan que
la contingencia ha sido superada.
Coordinador de
infraestructura, Administrador
de la red o el
ACTIVIDAD A
CONTROLAR
COMO EJERCER
EL CONTROL
EVIDENCIA DEL
CONTROL
RESPONSABLE

Código:
Versión: 1
Fecha: 30/05/13
Página: 46 de 123
ESTRATEGIA TECNOLÓGICA DE LAN - SWITCHES
1. OBJETIVO
Recuperar un Switch que se encuentra en la red de ICETEX.
2. ALCANCE
 Daños o fallas en alguno de los Switches.
 Falla a nivel de Hardware o Software.
 Contrato vigente de soporte y Carta de Servicio DSSP (Ver Anexo)
4. DESCRIPCIÓN
DIAGRAMA DE FLUJO

Código:
Versión: 1
Fecha: 30/05/13
Página: 47 de 123
ACTIVIDADES
ACTIVIDADES O TAREAS
No.
Act
Descripción de la Actividad Observaciones Responsable
Recursos
requeridos
y
ubicación
1
Identificar la falla y realizar un
diagnóstico interno Administrador de la Red
2
Llamar al CONTRATISTA
responsable del mantenimiento o
tomar uno de los switch del stock
disponible para asignar un
recambio
- Las que se encuentren
en el documento de
contacto del
CONTRATISTA ubicada
en carpetas compartidas
de la Dirección de
tecnología
Continuidad_de_negoci
o contactos
Administrador de la Red
Contrato y
carta de
solicitud
(Anexo 1)
3 Tomar el Swicth de recambio Administrador de la Red
4
Recuperar la plantilla de
configuración
La suministrará el
Coordinador de
Infraestructura de Tecnología
o el Director de tecnología, y
este la ubicará en el
repositorio
Continuidad_de_negocio
plantillas de configuración de
los swicthes
Coordinador de
infraestructura,
Administrador de la red o
el
5
Resetear el swicth, y aplicar la
plantilla de configuración
Toma la plantilla y con los
comandos ::: proceder a
cargarla en el Swicth de
reposición
6
Verificar que el swicth opera
adecuadamente
Se conecta el switch y se
efectúan las pruebas de
enrutamiento necesarias.
Administrador de la red
7 El swicth opera adecuadamente
Si los resultados son
satisfactorios se sigue al
siguiente paso sino vuelve al
paso No 5 y verifica
Administrador de la red
8
Se informa al Coordinador de
infraestructura o al Director de
tecnología, del restablecimiento
del servicio
Reporte de funcionamiento y
se documenta el proceso
efectuado
9 Reporte de servicio restablecido El Coordinador de Coordinador de

Código:
Versión: 1
Fecha: 30/05/13
Página: 48 de 123
infraestructura o el Director
de tecnología, informan que
la contingencia ha sido
superada.
infraestructura,
Administrador de la red o
el
ACTIVIDAD A
CONTROLAR
COMO EJERCER
EL CONTROL
EVIDENCIA DEL
CONTROL
RESPONSABLE
V2 17/08/2010 Ajustar procedimiento a formato.
V3 05/12/2012 Ajustar el procedimiento de acuerdo al análisis de impacto de
negocio desarrollado y la nueva estrategia de outsourcing del centro
de datos.

Código:
Versión: 1
Fecha: 30/05/13
Página: 49 de 123
ESTRATEGIA TECNOLÓGICA DE SISTEMA OPERATIVO – SOFTWARE DE BASE DE DATOS
1. OBJETIVO
Recuperar un servidor de base de aplicaciones por daño en el sistema.
2. ALCANCE
 Daños o fallas en algún servidor que afecte servicios dentro de los cuales esta soportado por un
servidor web o servidor de aplicaciones.
 Falla a nivel de Software Base del servidor.
 Contrato vigente de soporte servidores
4. DESCRIPCIÓN
ACTIVIDADES
ACTIVIDADES Ó TAREAS
No.
Act
Descripción de la
Actividad
Recursos
requeridos
y
ubicación
1
Identificar la falla y realizar
un diagnostico interno
Administrador
servidores
2
Llamar al CONTRATISTA
responsable del
mantenimiento o
- Las que se encuentren en el
documento de contacto del
CONTRATISTA ubicada en carpetas
compartidas
continuidad_de_negocio contactos
Administrador de
servidores
Contrato
3
Diagnóstico de la situación
por parte del administrador
del servidor o del
contratista
Se efectúa un diagnóstico del estado del
software base.
Administrador del
servidor
4
Se puede recuperar el
servicio en la misma
máquina
restablecer el servicio
Administrador del
servidor y/o
contratista

Código:
Versión: 1
Fecha: 30/05/13
Página: 50 de 123
5
Proceder a restablecer el
servicio
Se restablece el servicio en el mismo
servidor y se pasa al paso 9
Administrador del
servidor
6
Recuperar la hoja de vida
del servidor
La extraerá del repositorio de plantillas
de hojas de vida de los servidores
Coordinador de
infraestructura,
Administrador del
servidor o el
Director de
tecnología
7
Actualizar la configuración
en el servidor de
contingencia
Toma la hoja de vida y con los
comandos de la consola de
administración instala, configura los
servicios con los parámetros descritos
en la hoja de vida.
Administrador del
servidor
8
Definir los usuarios del
sistema en el nuevo
servidor
Tomar de la hoja de vida los usuarios
requeridos para su correcto
funcionamiento y definirlos asignándoles
los perfiles requeridos
Administrador del
servidor
9
Verificar que el servidor la
aplicación, el servidor web
o servidor de aplicaciones
opera adecuadamente
Si los resultados son satisfactorios se
sigue al siguiente paso sino vuelve al
paso No 5 y verifica
Administrador del
servidor
10
Se informa al Coordinador
de infraestructura o al
Director de tecnología, del
restablecimiento del
servicio
documenta el proceso efectuado
Administrador del
servidor
11
Reporte de servicio
restablecido
El Coordinador de infraestructura o el
Director de tecnología, informan que la
contingencia ha sido superada.
Coordinador de
infraestructura,
Administrador de la
red o el
Director de
tecnología
ACTIVIDAD A
CONTROLAR
COMO EJERCER
EL CONTROL
EVIDENCIA DEL
CONTROL
RESPONSABLE

Código:
Versión: 1
Fecha: 30/05/13
Página: 51 de 123
8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL
Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las siguientes
estrategias manuales ante una contingencia cuyo escenario es falla de los sistemas con los que
ejecutan la operación:
No. Contingencia manual a procedimientos Area
1. Resoluciones de giro por fallas del sistema C&CETEX Vicepresidencia de
Fondos
2. Expedición del certificado de disponibilidad presupuestal ante
la imposibilidad de operar en el sistema Apoteosys
Vicepresidencia
Financiera
3. Registro presupuestal de compromisos ante la imposibilidad
de operar en el sistema Apoteosys.
Vicepresidencia
Financiera
4. Registro presupuestal de obligaciones ante la imposibilidad de
operar en el sistema Apoteosys
Vicepresidencia
Financiera
5. Análisis contable de causaciones y cuentas por pagar ante
imposibilidad de operar en el sistema Apoteosys
Vicepresidencia
Financiera
6. Giro por falla en el sistema Apoteosys Vicepresidencia
Financiera
7. Generación de correspondencia externa ante imposibilidad de
operar en el sistema mercurio
Secretaria General
8. Consulta de archivo Secretaria General
9. Pago de servicios públicos y administraciones ante la
imposibilidad de operar en el sistema Apoteosys
Secretaria General

Código:
Versión: 1
Fecha: 30/05/13
Página: 52 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE RESOLUCIONES DE GIRO POR
FALLAS DEL SISTEMA C&CETEX
Macro proceso: Otorgamiento de Productos
Proceso: Gestión de legalización y renovación para aprobación del desembolso
1. OBJETIVO
Obtener un plan de contingencia para el procedimiento crítico de Resoluciones de Giro en la
Vicepresidencia de Fondos por fallas del sistema C&CETEX.
2. ALCANCE
Este procedimiento se utiliza ante la activación de Contingencia dada por la Oficina de Riesgos,
caso en el que la Vicepresidencia de Fondos en Administración determinará los Giros urgentes a
emitir en el día, de acuerdo con los compromisos contraídos con los Constituyentes y sobre esta
decisión informará al personal encargado para que procedan a aplicar la contingencia.
 Para el desarrollo de esta contingencia se requiere contar con el reporte de “Faltantes de
Giro” de la Vicepresidencia de Fondos en Administración, actualizado a fecha del día anterior,
para lo cual es necesario que el funcionario designado genere al final del día este reporte y lo
guarde en la Carpeta Compartida de la Vicepresidencia de Fondos, debidamente protegido
para que no sea posible su manipulación por ninguna persona.
 Los giros propuestos a gestionar deberán haber cumplido con las siguientes condiciones para
iniciar el proceso de giro:
o Hallarse la documentación soporte en la Entidad,
o Encontrarse en el sistema C&CETEX con los estados de: “Autorizado”, “Concepto jurídico
viable” o “Renovado IES”.
4. DESCRIPCION
4.1 ACTIVACION DE LA CONTINGENCIA - GENERACION DEL GIRO
Encargado del Fondo / Vicepresidencia de Fondos en Administración
4.1.1 Cumplido el Procedimiento de Legalización de Crédito Educativo, se recepciona por parte
del Constituyente la autorización con la relación de los Beneficiarios autorizados para que se
les desembolse, documento debidamente firmado por el funcionario autorizado en el Fondo.

Código:
Versión: 1
Fecha: 30/05/13
Página: 53 de 123
4.1.2 Ingresar a la dirección de “Carpeta Compartida de Fondos” y seleccionar el reporte “Faltantes
de Giro”, que contiene la información de los Beneficiarios que se encuentran en las
condiciones indicadas en el numeral 3. Proceder a filtrar la información con la información de
los Beneficiarios a gestionar el giro de acuerdo al rubro a pagar.
4.1.3 Revisar que los datos del Beneficiario autorizado en el documento de Autorización de
Beneficiarios contenga la misma información que se encuentra en el Reporte de Faltantes de
Giro: nombre del beneficiario, universidad, programa, valor aprobado para el giro.
4.1.4 Si la revisión es coincidente proceder a diligenciar el formato F135 “Formato de Autorización
de Giros – Vicepresidencia de Fondos en Administración. Esta planilla debe firmarla en
constancia de elaboración.
4.1.5 En caso que se presente diferencia en la información, es necesario solicitar aclaración con el
Constituyente a través de correo electrónico.
4.1.6 Entregar al Técnico Administrativo los siguientes documentos: Formato F135 “Formato de
Autorización de Giros – Vicepresidencia de Fondos en Administración” y documento de
Autorización de Beneficiarios por parte de Constituyente.
Técnico Administrativo / Vicepresidencia de Fondos en Administración
4.1.7 Elaborar por cada orden de giro, el Formato “Resolución Giro Contingencia C&CETEX” con
los datos indicados en el formato 135.
4.1.8 Revisar el Formato “Resolución Giro Contingencia C&CETEX” contra el formato F135
“Formato de Autorización de Giros – Vicepresidencia de Fondos en Administración,
verificando que los datos que componen la orden de resolución coincida la información que
reposa en el reporte de faltantes.
4.1.9 Las ordenes de resolución cuya información es igual, serán firmadas por el Técnico
Administrativo, en el campo de “Elaboro”.
4.1.10 Aquellas resoluciones que difiere la información debe corresponder a equivocación en la
emisión de la orden de resolución, por cuanto es necesario corregir las órdenes y volver a
imprimir y firmar.
4.1.11 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Encargado del
Fondo.
Encargado del Fondo / Vicepresidencia de Fondos en Administración
4.1.12 Revisar la ordenes de resoluciones de giro garantizando su correcta emisión, en constancia
firma en el campo “Reviso” de dicho documento.
4.1.13 Entregar al Encargado del Fondo las resoluciones y documentación soporte al Coordinador.
Coordinador / Vicepresidencia de Fondos en Administración

Código:
Versión: 1
Fecha: 30/05/13
Página: 54 de 123
4.1.14 Revisar el formato F135 “Formato de Autorización de Giros – Vicepresidencia de Fondos en
Administración”, la orden de resolución de giro, el Formato “Resolución Giro Contingencia
C&CETEX” y la Autorización del Fondo con la relación de los beneficiarios contra el Reporte
de Faltantes de Giro, verificando la consistencia en la información.
4.1.15 De encontrarla correcta, proceder a firmar la Planilla 135 “Formato de Autorización de Giros –
Vicepresidencia de Fondos en Administración” y la “Resolución Giro Contingencia C&CETEX”.
4.1.16 De encontrar algún tipo de inconsistencia, debe rechazar la orden de resolución y solicitar
aclaración al Funcionario encargado del Fondo.
4.1.17 Entregar la documentación correspondiente a las Órdenes de Resolución de giro autorizadas
al Vicepresidente de Fondos en Administración, quien realiza una última verificación de la
información y firma como Ordenador del Gasto. Estos documentos son devueltos al
Coordinador responsable del Fondo.
4.1.18 Actualizar los giros ordenados en el Reporte de Pendientes, diligenciando los siguientes
campos:
 Fecha orden de resolución: Años, mes y día (AAAA/MM/DD) de la solicitud de emisión de
la orden de giro.
 Elaborado: Nombre y apellido del Funcionario encargado del Fondo que está solicitando la
orden de resolución de giro.
4.1.19 Sobre el Reporte de Pendientes, seleccionar aquellos que tienen diligenciado el campo
“Fecha de resolución” y proceder a generar un archivo independiente con las resoluciones de
desembolso que se requieran cargar. Para ello debe crear el archivo con la estructura
requerida por el sistema Apoteosys, información que reposa en el Reporte de Pendientes de
Fondos.
4.1.20 Entregar las Órdenes de Resolución y el formato F135 “Formato de Autorización de Giros –
Vicepresidencia de Fondos en Administración” al Grupo de Presupuesto de la Vicepresidencia
Financiera, para su cumplimiento.
4.2 CARGE DEL ARCHIVO EXCEL CON INFORMACION DE LAS RESOLUCIONES DE
DESEMBOLSO AL MAESTRO DE RESOLUCIONES DE APOTEOSYS
4.2.1 Efectuar el cargue del archivo Excel en el aplicativo Apoteosys, de acuerdo con las
instrucciones dadas por la Dirección de Tecnología.
4.3 RETORNO A LA NORMALIDAD – SISTEMA C&CETEX
Dirección de Tecnología

Código:
Versión: 1
Fecha: 30/05/13
Página: 55 de 123
4.3.1 Una vez restablecida la incidencia presentada en el aplicativo C&CETEX, la Dirección de
Tecnología efectuará la actualización de las ordenes de resoluciones emitidas que ya han
sido cargadas en el sistema Apoteosys.
4.3.2 Informar a la Oficina de Riesgos la actualización del aplicativo C&CETEX y su
restablecimiento.
Oficina de Riesgos
4.3.3 Avisar a la Vicepresidencia de Fondos en Administración el restablecimiento del sistema
C&CETEX y el Vicepresidente informe al personal del área y puedan ingresar a dicho
aplicativo.

Código:
Versión: 1
Fecha: 30/05/13
Página: 56 de 123
CONTINGENCIA MANUAL PARA EL PROCEDIMIENTO DE EXPEDICION DEL CERTIFICADO DE
DISPONIBILIDAD PRESUPUESTAL ANTE LA IMPOSIBILIDAD DE OPERAR EN EL SISTEMA
APOTEOSYS
Macro proceso: Gestión Financiera
Proceso: Gestión Presupuestal
1. OBJETIVO
Obtener un plan de contingencia ante la imposibilidad de operar en el sistema Apoteosys para
desarrollar el procedimiento de Expedición del Certificado de Disponibilidad Presupuestal (CDP),
donde se emite el documento que garantiza la existencia de apropiación presupuestal disponible,
para la asunción de compromisos o traslados con cargo al presupuesto de la respectiva vigencia
fiscal.
2. ALCANCE
Este procedimiento se utiliza ante la activación de contingencia dada por la Oficina de Riesgos,
caso donde el Coordinador del Grupo de Presupuesto de la Vicepresidencia Financiera
determina los Certificados de Disponibilidad Presupuestal a emitir en el día, de acuerdo con las
necesidades de las diferentes áreas de la Entidad y sobre esta decisión informa al personal del
Grupo de Presupuesto para que procedan a aplicar esta contingencia.
 Para el desarrollo de esta contingencia se requiere contar con los reportes de Excel de
Ejecución Presupuestal y Base de Datos de los CDP’s (Control dual), debidamente
actualizados y armonizados a la fecha, las cuales reposan en la carpeta compartida del Grupo
de Presupuesto de la Vicepresidencia de Financiera y/o carpeta del Coordinador denominada
“Reportes Consulta”, documentos a conservar debidamente protegidos para que no permitir
su manipulación por ninguna persona ajena al área.
4. DESCRIPCIÓN
Ordenador del gasto

Código:
Versión: 1
Fecha: 30/05/13
Página: 57 de 123
4.1 Realizar solicitud de CDP (Certificado de Disponibilidad Presupuestal) dirigido al Coordinador de
Presupuesto por medio de memorando, el cual es firmado directamente por el Ordenador del Gasto.
Funcionario Encargado / Grupo de Presupuesto
4.2 Recibir memorando y verificar que se encuentre la siguiente información: Descripción del gasto,
vigencia del mismo y se halle firmada por el Ordenador del Gasto. De faltar alguna de estas
condiciones no se recibe la solicitud; de encontrarse en orden, se entrega la solicitud al Coordinador de
Presupuesto.
Coordinador / Grupo de Presupuesto
4.3 Revisar rubro presupuestal y saldo vigente en el Informe Base de Datos de los CDP’s (Control dual)”;
para lo cual procede así:
4.3.1 Si existe rubro presupuestal y vigencia: Entregar al Funcionario Encargado para continuar el proceso.
4.3.2 Si el gasto no está contemplado para la vigencia en curso: Informar al Ordenador del Gasto de la no
existencia del mismo a través de correo electrónico y en consecuencia se devuelve.
4.3.3 En caso de no existir apropiación vigente no afectada: Revisar al interior del rubro mayor la posibilidad
de realizar ajuste:
 De ser posible la modificación del rubro mayor: Efectuar novedad en el Reporte de Informe de
Ejecución Presupuestal, guardando el equilibrio al interior del rubro mayor. Los documentos
soportes son entregados al Funcionario Encargado.
 En caso de no ser posible la modificación al rubro mayor y existir disponibilidad en otro rubro,
seguir el procedimiento de “Modificación al Presupuesto”.
4.4 Ingresar en el reporte “Base de Datos de los CDP’s” (Control dual)”, la información relacionada con el
objeto asociado de la solicitud y el valor requerido.
4.5 Emitir CDP manualmente, con la información del objeto, valor y rubros presupuestales afectados.
Coordinador / Grupo de Presupuesto
4.6 Revisar el CDP en físico y verificar que su contenido sea el mismo de la solicitud realizada.

Código:
Versión: 1
Fecha: 30/05/13
Página: 58 de 123
4.7 Si la información es correcta, firmar el CDP; en caso contrario, solicitar su corrección al Funcionario
Encargado.
4.8 Entregar al Ordenador del Gasto solicitante el CDP original mediante comunicación firmada por el
Coordinador del Grupo de Presupuesto. Debe mantenerse una copia del CDP en el Grupo de
Presupuesto de la Vicepresidencia Financiera, con el sello de recibido del área ordenante.
5. RETORNO A LA NORMALIDAD
Este procedimiento de contingencia podrá retornar a la normalidad una vez confirme la Oficina
de Riesgos la solución del aplicativo Apoteosys, siendo necesario efectuar la actualización
manual en dicho aplicativo de las actividades que se realizaron en contingencia:
5.1 Registrar la información del CDP emitido, afectando el rubro presupuestal con el que se
emitió el documento.
5.2 Modificar el rubro presupuestal en caso que se hayan realizado ajustes.
1 15/11/2012 Documento inicial

Manual continuidad negocio

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Manual continuidad negocio

Semelhante a Manual continuidad negocio (20)

Mais de Leonardo Lenin Banegas Barahona

Mais de Leonardo Lenin Banegas Barahona (20)

Último

Último (20)

Manual continuidad negocio