MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX

Tamaño: px
Comenzar la demostración a partir de la página:

Download "MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX"

Transcripción

1 Página: 1 de 123 CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Mayo de 2013

2 Página: 2 de 123 Contenido 1 INTRODUCCION 4 2 OBJETIVOS OBJETIVO GENERAL OBJETIVOS ESPECIFICOS 4 3 ALCANCE 5 4 CONCEPTOS BASICOS 5 5 CAUSAS DE INTERRUPCION 7 6 GOBIERNO DE CONTINUIDAD LINEAMIENTOS NORMAS EXTERNAS ESTRUCTURA DE LA GESTION DE LA COMITE SARO - SARLAFT LIDERES PCN OFICINA DE RIESGOS ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE ENTRENAMIENTO 15 7 FASES DE LA ADMINISTRACION DEL PLAN DE FASE DE PREVENCION ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA ETAPA DE ANALISIS DE RIESGOS ETAPA DE ESTRATEGIA ETAPA DE PRUEBAS ETAPA DE MANTENIMIENTO FASE DE ADMINISTRACION DE CRISIS CONCEPTO OBJETIVOS 38

3 Página: 3 de ALCANCE 38 8 ANEXOS ANEXOS DE ESTRATEGIA TECNOLOGICA ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL ANEXOS DE PROCEDIMIENTOS ESCENARIO DE CONTINGENCIA A SITIO ALTERNO MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS ANEXOS DE TABLAS TIPOS DE AMENAZA TIPOS DE VULNERABILIDADES CRITERIOS DE FRECUENCIA CRITERIOS DE IMPACTO ANEXOS FORMATOS FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA FORMATO DE INCIDENTES DE CONTINGENCIA CASCADA TELEFONICA FORMATO GUION DE PRUEBAS Y SUS REGISTROS FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION ANEXOS RESULTADOS EQUIPO DE TRABAJO DEL PCN RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO BIA 118

4 Página: 4 de INTRODUCCION El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el menor tiempo posible, garantizando la continuidad del instituto. La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa, para responder organizadamente a eventos que interrumpen la normal operación de sus procesos y que pueden generar impactos sensibles en el logro de los objetivos. El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. 2 OBJETIVOS 2.1 OBJETIVO GENERAL Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la atención de clientes y la operación. 2.2 OBJETIVOS ESPECIFICOS Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena administración de la crisis. Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio. Asegurar una pronta restauración de las operaciones afectadas por el evento. Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.

5 Página: 5 de 123 Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera de Colombia. 3 ALCANCE La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la organización para poder continuar operando durante un incidente o desastre, a través de la implementación de un plan de continuidad, el cual contempla los lineamientos de administración de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad. De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de crisis y los demás sistemas de gestión. 4 CONCEPTOS BASICOS Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la organización, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad del negocio. Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo. Abarca las personas, procesos de negocios, tecnología e infraestructura. Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el cual puede causar interrupción o reducción en la calidad del servicio y en la productividad. Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un incidente o un desastre. Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

6 Página: 6 de 123 Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción 1. Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del negocio. Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, igual que los recursos necesarios para su uso 2. Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos. Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre otros. Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias vulnerabilidades con impactos adversos resultantes para la Entidad. Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la naturaleza de la vulnerabilidad. Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación 1 Concepto tomado del Capítulo XXIII Reglas relativas a la administración del riesgo operativo de la Circular Básica Contable de la Superfinanciera. 2 Concepto tomado del Capítulo XII Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica Jurídica de la Superfinanciera.

7 Página: 7 de 123 física a personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad: Confiabilidad, disponibilidad y recuperabilidad. Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el riesgo o potenciar oportunidades positivas. Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin controles. Riesgo residual: Riesgo remanente tras la aplicación de controles. 5 CAUSAS DE INTERRUPCION Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios: Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo. No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso crítico se debe contar con un sitio alterno de trabajo, el cual puede ser: Suministrado por la Entidad, Ejemplo: Otra sede. Suministrado por un proveedor, contratista o aliado estratégico. Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano. No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado, adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el Icetex.

8 Página: 8 de GOBIERNO DE CONTINUIDAD 6.1 LINEAMIENTOS El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su impacto sobre el negocio. Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son: El plan de continuidad de negocio está orientado a la protección de las personas, así como al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre. Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos definidos y conocer claramente los roles y responsabilidades que le competen en el marco de la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de los Planes de Contingencia del Negocio. En caso de presentarse un incidente significativo se deben aplicar los mecanismos de comunicación apropiados, tanto internos como externos, de acuerdo con el manual de Comunicación en Situaciones de Crisis. Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de la Entidad, con la guía y coordinación de la Oficina de Riesgos. Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios para el área que representa. Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la siguiente frecuencia: o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus necesidades.

9 Página: 9 de 123 o El monitoreo a los riesgos de continuidad se efectuará de manera semestral. o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas. o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de contingencia. Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en los Planes de Continuidad del Negocio. La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación de Tolerable. Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan. Los planes de contingencia deben mantenerse actualizados, para lo cual se deben desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen las áreas involucradas. 6.2 NORMAS EXTERNAS La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un Plan de Continuidad de Negocios, que cumplan con los siguientes elementos: Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. Circular 038/2009 Sistema de Control Interno: Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad para responder a las fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la normalidad.

10 Página: 10 de 123 Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas. Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este documento. 6.3 ESTRUCTURA DE LA GESTION DE LA Para asegurar una adecuada administración de la continuidad del negocio se estableció un estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de Proceso, como de la Alta Gerencia. Esa administración está conformada por: COMITE SARO - SARLAFT La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es responsable de administrar la continuidad de la operación del Instituto. A continuación se mencionan los integrantes del comité, su rol y responsabilidad frente a este item: COMITÉ SARO SARLAFT ROLES DE CONTINGENCIA Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad Jefe de Riesgos Director Alterno de Continuidad Secretaria General Líder de Administración /Recuperación Infraestructura Física Director de Tecnología Líder de Recuperación Tecnológica Vicepresidente Financiero Coordinadores de Recuperación Vicepresidente de Crédito y Cobranza Vicepresidente de Fondos en Administración Jefe de Control Interno Tareas de apoyo, control y cumplimiento Jefe Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Jefe oficina Asesora de Comunicaciones (Su participación Asesor de Comunicaciones será por solicitud del Comité SARO-SARLAFT) Roles de Miembros de Comité SARO - SARLAFT

11 Página: 11 de 123 En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de Comunicaciones. A) ROLES Y RESPONSABILIDADES A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus suplentes (alternos) tienen las mismas responsabilidades. Director de Continuidad El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO- SARLAFT o en situaciones donde amerite realizar su activación inmediata. Responsabilidades Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de actualizar, mantener y probar el plan de continuidad. Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de recuperación y contingencia de la entidad. Liderar las reuniones del Comité SARO SARLAFT. Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la entidad y que ponen al descubierto debilidades del plan de continuidad. Monitorear los reportes sobre el estado de recuperación o evaluación durante una contingencia. Velar por la seguridad del personal que actúa en el área del evento. Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario de interrupción de lugar teniendo en cuenta el resultado de la evaluación Velar por la ejecución del debido análisis causa raíz del evento que ocasionó la contingencia. Director Alterno de Continuidad Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste no se encuentre disponible.

12 Página: 12 de 123 Es responsable de declarar la contingencia ante un incidente tecnológico de algún aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de Tecnología. Realizar las actividades que le sean asignadas por el Director de Continuidad. Líder Administrativo El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la operación. Responsabilidades Coordinar el suministro de elementos esenciales como transporte, recursos de infraestructura y papelería. Gestionar la consecución y adecuación de los centros alternos de operaciones según el plan de operaciones en contingencia. Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros. Líder de Recuperación Tecnológica Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de continuidad implementadas. Es el contacto directo entre la Dirección de Tecnología y el Comité SARO - SARLAFT; además, apoya las decisiones tomadas por el Director de Continuidad durante la declaración y activación de la contingencia. Responsabilidades Liderar la recuperación tecnológica, basados en las estrategias de continuidad implementadas. Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la operación normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad. Mantener comunicación constante entre Coordinadores de Recuperación del Negocio durante el estado de contingencia. Colaborar en la comunicación a los proveedores de los temas o servicios de su competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones. Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la recuperación.

13 Página: 13 de 123 Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y responsabilidades, disponibilidad de los recursos, entre otros. Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en las mismas. Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Coordinadores de Recuperación Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de procesos de negocio críticos, basados en las estrategias de contingencia. Son el contacto directo entre los procesos de negocio y el Comité SARO-SARLAFT; además, colaboran con las decisiones tomadas por el Director de Continuidad y el Comité SARO-SARLFT durante la declaración y activación de la contingencia. Responsabilidades Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las interrupciones que están afectando la prestación del servicio. Ejecutar los planes de contingencia ante el incidente presentado. Identificar los posibles riesgos que afectan la continuidad de la operación normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad. Mantener comunicación constante durante el estado de contingencia. Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones. Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la recuperación de sus áreas. Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en la misma. Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Responsable de tareas de apoyo, control y cumplimiento Responsabilidades Realizar las actividades que le sean asignadas durante la declaración de contingencia. Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la funcionalidad del plan.

14 Página: 14 de 123 Asesor de Comunicaciones El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel externo (clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual de gestión de la comunicación en situaciones de crisis. Responsabilidades Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en temas de comunicación en momentos de crisis. B) LINEA DE SUCESION Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. CARGO PRINCIPAL CARGO ALTERNO Presidente del Icetex o su delegado, quien Jefe de Riesgos presidirá el Comité Jefe de Riesgos Director de Tecnología Secretaria General Asesor Técnico de Secretaria General Director de Tecnología Coordinador de Infraestructura Vicepresidente Financiero Director de Contabilidad Vicepresidente de Crédito y Cobranza Director de Cobranzas Vicepresidente de Fondos en Administración Analista de Vicepresidente de Fondos en Administración Jefe de Control Interno Coordinador de la Oficina de Control Interno Jefe Oficina Asesora Jurídica Analista de Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Coordinador de Riesgos de Crédito y Analista de Plan de Continuidad de Negocios Operativo Línea de sucesión LIDERES PCN Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la administración del plan de continuidad sobre los procesos / procedimientos a cargo: Actuar como punto focal del área para todos los asuntos de continuidad del negocio. Cumplir con las actividades y fechas establecidas del Cronograma de PCN. Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de contingencia que les compete. Asegurar la aplicación correcta de los PCN al interior del área.

15 Página: 15 de 123 Revisar el impacto en el área durante el incidente. Mantener actualizados los documentos de PCN del área (BIA, Estrategia de Recuperación, Cascada telefónica, Análisis de Riesgos. etc). En el Anexo No se encuentra la Relación de los Líderes de PCN y Líderes de Proceso del Icetex OFICINA DE RIESGOS La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad: Definir e implementar los instrumentos, metodologías y procedimientos tendientes a gestionar efectivamente el PCN. Suministrar los programas de capacitación de PCN. Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área. Guiar en el desarrollo de las diferentes etapas del PCN. 6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE La Administración del Plan de continuidad del Negocio está conformada por los siguientes elementos: Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no disponibilidad del sitio normal de trabajo y no contar con los proveedores críticos del negocio. Planes de Recuperación de Desastres DRP, el cual contempla las diferentes estrategias definidas para la recuperación de los sistemas. Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio 6.5 ENTRENAMIENTO En el éxito del Plan de Continuidad es fundamental contar con la participación y el compromiso del personal involucrado en el mismo. La administración de continuidad debe asegurar que todos los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que serán los encargados de ponerlos en funcionamiento en caso de presentarse un evento no

16 Página: 16 de 123 deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los responsables de la correcta ejecución de los planes. La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo el personal a través de la Secretaria General Grupo de Talento Humano. Dentro de la política de capacitación se contempla suministrar a todos los funcionarios capacitación anual de Plan de Continuidad de Negocios a través de la herramienta e-learning, así como en el proceso de inducción.

17 Página: 17 de FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son: 7.1 FASE DE PREVENCION En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto. Está conformada por las siguientes etapas: ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA A) CONCEPTO El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad puede tolerar en caso de un incidente o desastre.

18 Página: 18 de 123 B) OBJETIVO El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperación de Negocios, es la guía que determina qué necesita ser recuperado y el tiempo requerido para recuperación. C) ALCANCE A través del desarrollo del BIA se obtiene la siguiente información: Evaluación de los procedimientos, donde se establece cuáles son primordiales para la continuidad de la Entidad. Determinación de los impactos de una interrupción y cuando empiezan. Priorización y establecimiento del período de tiempo en el que los sistemas, aplicaciones y funciones deben ser recuperados después de una interrupción (RTO). Determinación del orden de recuperación. Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una interrupción en los sistemas de información (RPO). Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel de: Tecnología, personal, infraestructura y soporte proveedores. D) FASES DEL BIA Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir con los siguientes pasos: i. PLANEACION Contempla los aspectos para el correcto y completo desarrollo del BIA, como son: Identificación Procesos y Procedimientos: Obtener la relación de los procesos y procedimientos para realizar la Evaluación BIA. Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.

19 Página: 19 de 123 ii. METODOLOGIA BIA Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación. Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica de la Entidad. La metodología establece el diligenciamiento del Documento BIA (ver anexo No ), el cual es aplicado para cada una de los procedimientos que se realizan en la Entidad, utilizando el mismo patrón de calificación. A continuación se detalla el Documento BIA diseñado en la herramienta Excel: CUESTIONARIO DE EVALUACION BIA Permite analizar los impactos que puede causar el no ejecutar un procedimiento por encontrarse ante un incidente o desastre. Los impactos contemplados son: Regulatorio/ Legal: Incluye pérdidas por no presentar reportes financieros o de impuestos en las fechas indicadas, demandas o penalizaciones al incumplir requerimientos obligatorios en las actividades de la Entidad. Financiero: Incluye pérdida de ingresos, pérdida de intereses, costos de pedir dinero prestado para hacer caja, pérdida de ingresos por préstamos no realizados, penalizaciones por no cumplir compromisos contractuales o niveles de servicio y pérdidas de oportunidades durante el tiempo inoperante. Reputacional: Incluye la pérdida de confianza por parte de los clientes, del mercado y de los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el servicio, apariciones en las noticias por quejas de los clientes y pérdida de reputación. Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y oportuna atención a las necesidades de los usuarios. Operativo: Incluye la suspensión de la operación y los reprocesos que ello puede ocasionar. Para responder las preguntas se debe tener en cuenta la tabla del numeral de este documento denominada Criterios del Impacto. La escala de valoración del impacto es la siguiente: Legal Económico Servicio al Cliente Reputacional Procesos

20 Página: 20 de 123 Escala de Valoración del Impacto El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los clientes por dejar de realizar el procedimiento ante una interrupción. Adicional, existe la pregunta referente a sí el procedimiento analizado proporciona información crítica para cualquier otro procedimiento, con el fin de determinar interdependencias. Como resultado de la evaluación se genera las siguientes valoraciones: Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados por no ejecutarse el procedimiento. Esto se deriva a través de la realización del cuestionario BIA. Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto significativo. Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento de prioridades de recuperación durante una situación difícil. La tabla de valoración establecida es la siguiente: Tabla Valoración del BIA Calificación BIA Tiempo Objetivo de Recuperación (RTO) Valor del BIA N - 1AAA 4 Horas Misión Critica N - 1AA 8 Horas Misión Critica N - 1A 24 Horas Masivo Nivel 2 48 Horas Masivo Nivel 3 7 días Medio Nivel 4 14 días Medio Nivel 5 30 días Bajo Nivel 6 > 30 días Insignificante Tabla de valoración del BIA Esta información será el punto de partida para desarrollar las estrategias de recuperación.

21 Página: 21 de 123 Determinación del Punto de Recuperación Objetivo de la información RPO: El parámetro de Punto de Recuperación Objetivo de la Información determina la periodicidad con la que deben salvaguardarse los datos de los procesos del negocio; cuánto más pequeño sea el RPO más sólido debe ser el mecanismo de protección de datos (backup, replicación online, etc). El cuestionario de Evaluación BIA contiene la pregunta dirigida a establecer el Punto Objetivo de Recuperación (RPO) por procedimiento, la cual permite establecer el apetito de riesgo de pérdida de información ante un incidente tecnológico. Los parámetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que utilice la Entidad. Requerimientos Infraestructura: El análisis de los procedimientos está acompañado de la identificación de los requerimientos de personal, recursos y facilidades necesarias para su operación ante un evento de contingencia. Para ello, se tiene dispuesto la hoja de Cálculo Requerimientos Tecnológicos del documento BIA, donde el Líder de PCN diligencia la información referente a: Número de colaboradores de tiempo completo para ejecutar el proceso. Recurso humano requerido en contingencia. Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se determina la criticidad de los aplicativos del Icetex. Elementos logísticos como son: teléfono, impresora, escáner etc. Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta compartida del área.

22 Página: 22 de 123 Información de Proveedores Externos: El BIA identifica la relación del procedimiento con proveedores externos y en la hoja de cálculo denominada Información Proveedores del Documento BIA se mencionan los proveedores críticos. APROBACION DE LA EVALUACION Cada procedimiento evaluado por la metodología BIA es revisado, analizado y aprobado por el Líder del Proceso y como evidencia se genera el documento Resultados del Análisis de Impacto de Negocio (BIA), el cual es firmado por el Líder de Proceso y Líder de PCN del área. iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben ser informados al Comité SARO SARLAFT: Número de procesos y procedimientos evaluados. Clasificación de los procedimientos por calificación BIA. Establecimiento de los procedimientos críticos de la Entidad, de acuerdo con la calificación BIA. Cantidad de recursos humanos requeridos en contingencia: Número de personas que apoyan la contingencia ante una interrupción de las operaciones. Recursos de Bienes Muebles clasificado por calificación BIA: Se establecen los bienes muebles necesarios en la contingencia, como son: Computadores, teléfonos, escáneres, impresoras y otros elementos necesarios en contingencia. Dependencia de los proveedores externos en los procesos prioritarios: Definir los proveedores críticos con el fin de involucrarlos en la estrategia de PCN. Recursos Tecnológicos: Es necesario suministrar la información de: Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada procedimiento, con el fin de contar con la información necesaria para el alistamiento de los computadores que se disponen como contingencia en el escenario de Interrupción de Lugar. Adicionalmente, esta es la fuente para establecer el orden de criticidad de los aplicativos. El punto objetivo de recuperación (RPO): Con el fin de establecer las estrategias de backup adecuadas para garantizar que en caso de caída y daño de los data files en una base de datos, se restaure la información con el mínimo de pérdida. En el Anexo No describe el resultado de la última Evaluación del BIA.

23 Página: 23 de ETAPA DE ANALISIS DE RIESGOS En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas, sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la Entidad, con el fin de medir el nivel del riesgo. A) OBJETIVOS La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de desastre o una interrupción significativa en los servicios. B) METODOLOGIA DE ANALISIS DE RIESGO A continuación se detalla la Metodología de Análisis de Riesgos, la cual cubre los aspectos relacionados a continuación: Identificación de riesgos de continuidad Cálculo del riesgo inherente Evaluación de controles Cálculo del riesgo residual Tratamiento del riesgo residual IDENTIFICACION DEL RIESGO El Líder de PCN de cada Área en conjunto con el Analista encargado de la Oficina de Riesgos procede de la siguiente manera: 1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de Análisis de Impacto del Negocio (BIA). 2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA). 3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para ello, es necesario tomar como guía el anexo No denominado Tipos de Amenazas, donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si tales situaciones pueden darse en el proceso analizado.

24 Página: 24 de Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada. Para identificarla es necesario responder esta pregunta: Cómo puede ocurrir una amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro del Instituto puede darse esa circunstancia. Se recomienda utilizar como guía con el anexo No denominado Tabla de Vulnerabilidades, donde se encuentra una relación de debilidades que podrían llegar a generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía pudiendo incluirse muchas otras situaciones de debilidades. 5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad. 6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo con la tabla 8.4.2: Personas Infraestructura física Infraestructura de tecnología de información Procesos CALCULO DEL RIESGO INHERENTE El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los numerales Criterios de Frecuencia y Criterios de Impacto, las cuales contienen los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar la evaluación. Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la siguiente escala de medición: Escala de medición Muy baja Baja Moderada Alta Muy alta Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en las diferentes vulnerabilidades que conforman el riesgo. Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de afectación sobre los siguientes factores de influencia:

25 Página: 25 de 123 Regulatorio/ Legal Financiero Servicio al cliente Impactos Reputacional Operativo Humano Infraestructura Para establecer el resultado del impacto para cada riesgo se toma la calificación del cuestionario BIA. Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente máximo es 25 y el mínimo es 1. EVALUACION DE LOS CONTROLES Este proceso permite evaluar todos los controles asociados a las vulnerabilidades identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de control para poder dar un adecuado tratamiento al riesgo. Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100. El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables: Control no documentado, no aporta valor al total del criterio. Control documentado, aporta al total del criterio una calificación de 8 puntos. Control aprobado, aporta al total del criterio una calificación de 8 puntos. Control divulgado, aporta al total del criterio una calificación de 4 puntos, para un total de 20 puntos. El segundo criterio es la Aplicación, el cual aporta un total de 30 puntos, siendo necesario seleccionar una de las tres (3) opciones, así: El control nunca se aplica, no aporta valor al total del criterio. Se aplica a discreción, arroja una calificación de 10. Se aplica siempre, tiene una calificación de 30. Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:

26 Página: 26 de 123 Comprobada la efectividad, donde se debe contar con la evidencia física que dada la aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es de 50 puntos. Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en cuanto a la efectividad del control es positiva. La calificación es de 30 puntos. Percepción negativa, donde la percepción del experto es negativa en cuanto a la efectividad del control. La calificación es de 10 puntos. Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo para la prevención y detección de riesgos, dándole una calificación 0 puntos. La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente tabla: RANGO DE CALIFICACION DE LOS CONTROLES DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA A LOS RIESGOS CUADRANTES A DISMINUIR EN CUADRANTES A DISMINUIR EN LA FRECUENCIA EL IMPACTO Entre Entre Entre Calificación del Control Los controles se clasifican en: Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con que ocurren las causas del riesgo. Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen acciones sobre tales detecciones. Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los eventos que ponen en riesgo el logro de los objetivos del proceso. Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.

27 Página: 27 de 123 CALCULO DEL RIESGO RESIDUAL Luego de la valoración de los controles se identifica el efecto de mitigación en frecuencia e impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo residual, así: Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla Calificación del Control, estableciendo el efecto de mitigación que indica la columna Cuadrantes a disminuir en la frecuencia. Este valor se resta a la frecuencia obtenida en riesgo inherente. Rango de calificación de controles Frecuencia Cuadrante a disminuir en la Frecuencia Valor Frecuencia Residual 80 puntos De igual manera se procede con los controles dispuestos para disminuir el impacto del riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla Calificación del Control, estableciendo el efecto de mitigación que indica la columna Cuadrantes a disminuir en el impacto. Este valor se resta al impacto obtenido en riesgo inherente. Calificación control Valor Impacto Impacto Efecto mitigación sobre Impacto Residual 60 puntos Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los controles, obteniendo así el Riesgo Residual. Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual El Riesgo Residual se ubica en la siguiente Escala de Clasificación del Riesgo: NIVEL CLASIFICACIÓN 0-3 Aceptable 4-6 Tolerable 7-15 Grave Critico

28 FRECIUENCIA Código: Página: 28 de 123 Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles: IMPACTO TRATAMIENTO DEL RIESGO RESIDUAL A partir de la evaluación y análisis de los riesgos, se priorizan de mayor a menor criticidad, a fin de tomar decisiones de cómo actuar sobre los mismos. Esta metodología pretende actuar sobre los riesgos que estén fuera del rango de aceptabilidad. El tratamiento del riesgo residual debe ir orientado a cualquiera de las siguientes opciones: Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión administrativa. Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o minimizar la severidad de su impacto. Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares, procesos o personas. Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros, Subcontrataciones.

29 Página: 29 de 123 Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son atractivos en relación con los riesgos involucrados. Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad a través de la creación de nuevos controles o la implementación de modificaciones a los controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones respectivas para su tratamiento y mitigación. Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de realizar la respectiva reclasificación y acordar acciones. C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se requieren para la continuidad del negocio. El Líder de PCN efectúa seguimiento permanente sobre la implementación de los planes de acción y la verificación de la efectividad de los controles y a la vez identificando nuevos riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Líder de PCN de cada una de las áreas con apoyo del Funcionario Responsable en la Oficina de Riesgos y éste es aprobado por el Líder del Proceso. Este monitoreo se realiza en la Matriz de Riesgo de PCN. Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al riesgo fijado por la Entidad. D) REPORTE DE INCIDENTES DE CONTINUIDAD Los incidentes que afecten la continuidad de la operación deben ser reportados por los Líderes de PCN a la Oficina de Riesgos, a través del formato Reportes de Incidentes de Contingencia (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la ocurrencia del hecho.

30 Página: 30 de ETAPA DE ESTRATEGIA A) CONCEPTO Corresponden a las acciones que se deben tomar con el objetivo de restablecer las operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o falla en los procesos o funciones críticas. Es necesario identificar las diferentes estrategias de continuidad y seleccionar las más adecuada para la institución, para lo cual el Líder de PCN de cada área junto con el Profesional del tema en la oficina de Riesgos analizarán las variables de: La criticidad del proceso a proteger El costo de la estrategia El tiempo de recuperación objetivo (RTO) B) OBJETIVOS Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible, con un aceptable nivel de servicio. Garantizar que los Empleados: Estén protegidos Comprenden su papel Saben a dónde ir Saben qué hacer Saben qué recursos necesitan Entienden la secuencia de las tareas críticas Ayudar a planificar la recuperación y reanudación de las operaciones. Validar asuntos de recuperación de la Entidad, como: Necesidades de telecomunicaciones durante y después del desastre. Lugar alterno para continuidad/recuperación y reanudación. C) ALCANCE La selección de los métodos alternativos de operación que deben ser utilizados ante una interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.

31 Página: 31 de 123 Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son: Ausencia de personal Sitio alterno Fallas tecnológicas D) ESTRATEGIAS POR AUSENCIA DE PERSONAL Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación: El colaborador ausente activa la Cascada Telefónica y se comunica con el Jefe inmediato. El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por Ausencia de Personal. Distribuye procesos claves o asigna funciones al colaborador Back - up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 Formato asignación de accesos a sistemas de información. El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos. El documento denominado Cascada Telefónica cuenta con la información básica de los colaboradores y proveedores con el ánimo de utilizarlos en un evento de contingencia, como es: Funcionarios: Mantener la información de los colaboradores permite comunicarse con ellos en el evento que se encuentren fuera de las instalaciones. Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la información de contacto. Cada área cuenta con la información de Cascada Telefónica, la cual está conformada por: Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de teléfono personal y sí fue definido como personal crítico para operar la contingencia o no. Se encuentran descritos en el orden que serán llamados ante un evento.

32 Página: 32 de 123 Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán en la contingencia por cada procedimiento. Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor, nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto personal, teléfono de la oficina y móvil y correo electrónico. En el numeral se encuentra el formato de Cascada Telefónica. La información de Cascada Telefónica de cada área la conserva el Líder de PCN y la consolidación de la misma reposa en la Oficina de Riesgos. E) ESTRATEGIA DE SITIO ALTERNO La alternativa de traslado del personal se presenta en el evento que los funcionarios no puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de contingencia permitiendo la continuidad de las operaciones de los procesos críticos del Icetex desde un sitio alterno de operación. Las alternativas podrán ser usadas simultáneamente dependiendo de la disponibilidad del proveedor en el momento de la interrupción del Icetex, además depende de la activación y numero de procesos que se activen según el evento y el día en que se presente. El numeral Procedimiento de Estrategia de Sitio Alterno, aporta las actividades que se deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones alterno. F) ESTRATEGIA TECNOLOGICA La contingencia se presenta cuando el hardware y/o software presenta fallas, o por interrupción prolongada de telecomunicaciones. La Dirección de Tecnología tiene estructurado el siguiente Plan de Continuidad para los aplicativos e infraestructura de la Entidad:

33 Página: 33 de 123 APLICATIVOS C&CTEX Apoteosys Mercurio Cobol Bizagi Sevimpro Correo Electrónico Red Centro Computo Servidor INFRAESTRUCTURA RED LAN RED WAN Telecomunicaciones ETB Switches Centro cableado HUB Firewall Routers Enlaces Aire acondicionado Sistema de incendio Sistema eléctrico UPS Base de datos Sistema operativo Software base de datos Servidor Hardware Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos), como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen. El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este documento. Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por problemas en los sistemas, descrito en el numeral G) ESTRATEGIA CONTINGENCIA MANUAL Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que permitan operar sin un sistema base. Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias manuales que se disponen en el numeral 8.2 de este documento.

34 Página: 34 de ETAPA DE PRUEBAS A) CONCEPTO Consiste en probar la efectividad de las estrategias diseñadas y permitir el continuo mejoramiento del PCN de la Entidad. Esta etapa le da a la Institución la oportunidad de identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser atendidas, preparando el negocio para la emergencia real. B) OBJETIVOS Practicar los procedimientos ante un incidente o desastre. Identificar áreas que necesitan mejora. Permitir al PCN permanecer activo, actualizado, entendible y usable. Demostrar la habilidad de recuperación. C) ALCANCE DE LAS PRUEBAS Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación normal sean mínimas y deben comprender los elementos críticos y simular condiciones de proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir las siguientes tareas: Verificar la totalidad y precisión del Plan. Evaluar el desempeño del personal involucrado. Evaluar la coordinación entre los miembros del grupo de contingencia, proveedores y otros terceros. Identificar la capacidad de recuperar registros e información vital. Medir el desempeño de los sistemas operativos y computacionales. Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados, planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.

35 Página: 35 de 123 D) TIPO DE PTUEBAS En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las pruebas del plan de continuidad de negocio del Icetex: Prueba Integrada Pruebas Componentes Pruebas de Escritorio TIPO DE PRUEBA TECNICA UTILIZADA Integrada Creación de un escenario Seguimiento en vivo de todas las estrategias re recuperación Con previo aviso. Apoyo de los proveedores de recuperación Componentes Creación de un escenario Seguimiento de las estrategias de recuperación Con previo aviso. Escritorio Con previo aviso. Creación de un escenario. OPERACIÓN Prueba integrada con todos los elementos que hacen parte del plan de contingencia. Se ejecutan las estrategias y procedimientos de recuperación de cada uno de los componentes de la infraestructura tecnológica. Se realiza un ejercicio de papel de un escenario de desastre que toma lugar en un salón de conferencia. E) PLAN DE PRUEBAS Para la realización de una Prueba de Estrategia de Continuidad es necesario diligenciar el documento Plan de Pruebas (ver anexo No ), conformado por los siguientes pasos: Guion de pruebas: Es el documento mediante el cual se plasma la intención de efectuar la revisión de la estrategia de continuidad estimada para el proceso o servicio determinado, donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de interrupción, los resultados esperados, los integrantes de las pruebas y los riesgos asociados a la ejecución de la prueba. Este documento debe desarrollarlo previo a la ejecución de la prueba el Líder de PCN responsable del proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos. Paso a paso de la planeación: Este documento relaciona las actividades a efectuar durante la prueba, indicando además los responsables de realizar tales actividades así como los recursos mínimos necesarios y los tiempos de su realización, para la estimación completa

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos críticos del FNA.

Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos críticos del FNA. RESOLUCIÓN 237 DE 2010 (septiembre 13) Diario Oficial No. 47.840 de 22 de septiembre de 2010 FONDO NACIONAL DE AHORRO Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS

ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS El área de riesgos sirve como soporte en la gestión de los diferentes riesgos al Comité de Riesgos y a la junta directiva, y tiene como objeto identificar,

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

LAFSA Latin America Financial Services Advisory

LAFSA Latin America Financial Services Advisory VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

EVALUACIÓN DE LA ESTRUCTURA ESTRATÉGICA Y LA GESTIÓN DE RIESGOS EN EL INTERIOR DEL BANCO DE LA REPÚBLICA

EVALUACIÓN DE LA ESTRUCTURA ESTRATÉGICA Y LA GESTIÓN DE RIESGOS EN EL INTERIOR DEL BANCO DE LA REPÚBLICA EVALUACIÓN DE LA ESTRUCTURA ESTRATÉGICA Y LA GESTIÓN DE RIESGOS EN EL INTERIOR DEL BANCO DE LA REPÚBLICA 1. QUÉ DIRECTRICES HA DESARROLLADO LA JUNTA DIRECTIVA Y/O EL CONSEJO DE ADMINISTRACIÓN RESPECTO

Más detalles

RED DE SALUD DEL CENTRO E.S.E POLITICAS DE ADMINISTRACION DE RIESGOS Código: EVM - O - 02 Versión: 1 Fecha: DICIEMBRE 2012 CONTENIDO

RED DE SALUD DEL CENTRO E.S.E POLITICAS DE ADMINISTRACION DE RIESGOS Código: EVM - O - 02 Versión: 1 Fecha: DICIEMBRE 2012 CONTENIDO CONTENIDO 1. Introducción 2. Plan de manejo de riesgos institucionales. 2.1 Objetivos 2.1.1 Objetivos generales 2.1.2. Objetivos específicos 2.2 Alcance del plan de manejo de riesgos. 2.3 Referente Normativo

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO CAMARA DE COMERCIO SEVILLA Sistema Integrado de Gestión de la Calidad MANUAL DEL SISTEMA DE GESTION DE RIESGO Fecha Junio del 2015 Página 1 de 24 OBJETIVO Establecer la metodología para la gestión de los

Más detalles

Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública

Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública Dirección de Control Interno y Racionalización de Trámites Bogotá, D.C., Octubre de 2014 Índice Cómo interpretar

Más detalles

SEGUIMIENTO INSTITUCIONAL Bucaramanga

SEGUIMIENTO INSTITUCIONAL Bucaramanga SEGUIMIENTO INSTITUCIONAL Bucaramanga Enero de 2015 Revisó Director Control Interno y Evaluación de Gestión Aprobó: Rector Página: 2 de 20 Fecha de Aprobación: Marzo 11 de 2009 Resolución Nº 370 CONTENIDO

Más detalles

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

MANUAL DE ADMINISTRACION DEL RIESGOS

MANUAL DE ADMINISTRACION DEL RIESGOS MANUAL DE ADMINISTRACION DEL RIESGOS Página 1 de 15 MANUAL DE ADMINISTRACION DEL RIESGOS Versión 1 del 23 de Junio de 20 TABLA DE CONTENIDO MANUAL DE ADMINISTRACION DEL RIESGOS Página 2 de 15 TABLA DE

Más detalles

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Establecer los controles para

Más detalles

SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2

SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2 SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2 ÍNDICE Introducción... 3 Capitulo 1.... 4 Capítulo 2: Políticas de Riesgo Operacional... 5 Capítulo 3: Procedimientos... 9 Capítulo 4: Responsabilidades...

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Políticas y Metodologías para la. Administración de Riesgos

Políticas y Metodologías para la. Administración de Riesgos Políticas y Metodologías para la Administración de Riesgos Administración de Riesgos Órganos Facultados El Consejo de Administración es el órgano máximo para la administración de Riesgos de la Operadora,

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010 Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio Adela Garzón Bejarano Septiembre 1 de 2010 Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015 1. Introducción Teniendo en cuenta que la administración de riesgos es estratégica para el logro de los objetivos institucionales a continuación se enuncian las principales guías o marcos de acción que

Más detalles

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes: Enero 5 de 2015 GESTIÓN Y CONTROL DE RIESGOS Helm Fiduciaria S.A., como parte integrante del Grupo Corpbanca, está soportada por la infraestructura que el Grupo ha diseñado para controlar y gestionar los

Más detalles

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Versión para comentarios 30-06-2015

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Versión para comentarios 30-06-2015 El COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR, CONSIDERANDO: I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del Sistema Financiero, para el

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Versión 2015 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Derechos de autor reservados por AUDISIS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios

Más detalles

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO PAGINA: 1 de 7 OBJETIVO Identificar los riesgos, realizar el análisis y valoración de los mismos, con el fin de determinar las acciones de mitigación, que permitan intervenir los eventos internos y externos,

Más detalles

INFORME MONITOREO DE RIESGOS DE GESTIÓN Y DE CORRUPCIÓN

INFORME MONITOREO DE RIESGOS DE GESTIÓN Y DE CORRUPCIÓN INFORME MONITOREO DE RIESGOS DE GESTIÓN Y DE CORRUPCIÓN Oficina de Planeación Agosto de 2014 1 Contenido 1. Introducción 2. Metodología 3. Resultados de la aplicación metodológica 4. Conclusiones 2 1.

Más detalles

SISTEMAS DE GESTIÓN DE RIESGO

SISTEMAS DE GESTIÓN DE RIESGO SISTEMAS DE GESTIÓN DE RIESGO 1. POLÍTICAS EN LA GESTIÓN DE RIESGOS... 1 2. ESTRUCTURA PARA LA GESTIÓN DE RIESGO EN MULTIACTIVOS 2 3. SISTEMA DE ADMINISTRACIÓN DE RIESGO DE MERCADO... 5 4. ESTABLECIMIENTO

Más detalles

GUIA DE AUTO-EVALUACION DEL CONTROL

GUIA DE AUTO-EVALUACION DEL CONTROL 2009 GUIA DE AUTO-EVALUACION DEL CONTROL Elaboró: Luz Elena López N ALCALDIA DE PUERTO NARIÑO 11/08/2009 CONTENIDO Presentación Introducción Generalidades Autoevaluación del Control Objetivos objetivo

Más detalles

Administración de Riesgos

Administración de Riesgos Administración de Riesgos La Operadora de Fondos proveerá lo necesario para que las posiciones de riesgo de las Sociedades de Inversión de renta variable y en instrumentos de deuda a las que presten servicios

Más detalles

Abril 2014. Jorge A. Portales

Abril 2014. Jorge A. Portales Por qué Crear un Plan de Contingencias para mi Empresa? Y Que pasos seguir para Desarrollarlo, sin Morir en el Intento. Primer punto, Qué es un Plan de Contingencias? Un Plan de Contingencias es un modo

Más detalles

PROGRAMA INTERNO DE PROTECCIÓN CIVIL

PROGRAMA INTERNO DE PROTECCIÓN CIVIL Abril 2009 SECRETARÍA DE GOBERNACIÓN SISTEMA NACIONAL DE PROTECCIÓN CIVIL COORDINACIÓN GENERAL DE PROTECCIÓN CIVIL DIRECCIÓN GENERAL DE PROTECCIÓN CIVIL PRESENTACIÓN El Programa Interno de Protección Civil,

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

PROCEDIMIENTO ACCIONES CORRECTIVAS, PREVENTIVAS Y/O DE MEJORA ADMINISTRACIÓN DEL SISTEMA DE GESTIÓN INTEGRADA

PROCEDIMIENTO ACCIONES CORRECTIVAS, PREVENTIVAS Y/O DE MEJORA ADMINISTRACIÓN DEL SISTEMA DE GESTIÓN INTEGRADA UNIDAD NACIONAL DE PROTECCIÓN Página: 1 de 8 PROPOSITO Definir acciones o actividades requeridas para identificar, analizar y eliminar las causas de no conformidades reales o potenciales dentro de un proceso,

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA

DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA Víctor Manuel Díez Valencia Especialista Planeación y Evaluación Dirección Gestión Integral del Negocio vmdiez@isa.com.co

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Política para la Gestión Integral de Riesgos

Política para la Gestión Integral de Riesgos Política para la Gestión Integral de Riesgos MOTIVACIÓN Como empresa responsable, ISAGEN incorpora en su gestión las prácticas que permitan asegurar su sostenibilidad, preservando los recursos empresariales

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

MANUAL ESPECÍFICO DE FUNCIONES PARA LOS EMPLEOS PÚBLICOS DE LA PLANTA DE PERSONAL DEL FONDO FINANCIERO DE PROYECTOS DE DESARROLLO INDICE

MANUAL ESPECÍFICO DE FUNCIONES PARA LOS EMPLEOS PÚBLICOS DE LA PLANTA DE PERSONAL DEL FONDO FINANCIERO DE PROYECTOS DE DESARROLLO INDICE 29-06-2010 03 MDI004 1 DE 7 INDICE 1. OBJETO 2 2. ALCANCE 2 3. CONDICIONES GENERALES 2 4. TERMINOLOGÍA 2 5. REFERENCIAS 2 6. FUNCIONES EMPLEADOS PÚBLICOS 3 6.1. FUNCIONES NIVEL DIRECTIVO 3 6.1.1. GERENTE

Más detalles

INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014

INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014 INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014 Oficina de Control Interno Superintendencia del Subsidio Familiar Calle 45 A # 9-46 Teléfonos: 3487777 - PBX: 3487800 www.ssf.gov.co

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTION

MANUAL DEL SISTEMA INTEGRADO DE GESTION Página: 1 de 30 MANUAL DEL SISTEMA INTEGRADO Página: 2 de 30 TABLA DE CONTENIDO 1. PRESENTACION... 4 2. OBJETIVO... 5 3. ALCANCE... 5 3.1 Alcance del Sistema Integrado de Gestión... 5 3.2 Exclusiones...

Más detalles

Cuadernillo Orientador frente a la actualización de la NTCGP a su versión 2009 Noviembre de 2010

Cuadernillo Orientador frente a la actualización de la NTCGP a su versión 2009 Noviembre de 2010 Departamento Administrativo de la Función Pública Cuadernillo Orientador frente a la actualización de la Norma Técnica de Calidad para la Gestión Pública a su versión 2009 Elaborado por: Dirección de Control

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

DECRETO No. 09 05 21 02 21 de Mayo de 2009

DECRETO No. 09 05 21 02 21 de Mayo de 2009 DECRETO No. 09 05 21 02 21 de Mayo de 2009 Por el cual se adopta el Modelo Estándar de Control Interno (MECI 1000:2005) en la Alcaldía Municipal de Guamal El Alcalde Municipal de Guamal en uso de sus atribuciones

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

ADMINISTRACIÓN DEL RIESGO

ADMINISTRACIÓN DEL RIESGO PÁGINA: 1 DE 8 REVISÓ JEFE DE OFICINA DE CONTROL INTERNO APROBÓ REPRESENTANTE DE LA DIRECCIÓN PÁGINA: 2 DE 8 1. OBJETIVO Definir las actividades para la identificación, análisis, valoración y calificación

Más detalles

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo Espiñeira, Sheldon y Asociados No. 9-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

INSTRUCTIVO ELABORACION MAPA DE RIESGOS

INSTRUCTIVO ELABORACION MAPA DE RIESGOS Código :EV-EV- IN01 Página: 1 de 18 ADMINISTRACIÓN DEL RIESGO La Administración del Riesgo se construye para identificar, evaluar y controlar los eventos que pueden impedir el logro de los objetivos institucionales.

Más detalles

PLAN DE VALORACIÓN DE RIESGO. 2009. 81 P á g i n a

PLAN DE VALORACIÓN DE RIESGO. 2009. 81 P á g i n a 81 P á g i n a INTRODUCCIÓN Para que una empresa desarrolladora de software funcione correctamente y alcance los objetivos propuestos por la administración son necesarios activos o recursos de diferentes

Más detalles

Manual del Sistema de Atención al Consumidor Financiero SAC

Manual del Sistema de Atención al Consumidor Financiero SAC Manual del Sistema de Atención al Consumidor Financiero SAC 1 Código: Fecha de Emisión: Proceso: Subproceso: Ficha Técnica del Documento MC10- NRMC-01 Octubre 27 de 2010 Atención a Clientes Versión: 1.5

Más detalles

Objetivos Generales de Control Interno y Lineamientos para su Implementación

Objetivos Generales de Control Interno y Lineamientos para su Implementación Objetivos Generales de Control Interno y Lineamientos para su Implementación Alcance: Los Objetivos Generales de Control Interno y los Lineamientos para su implementación son de aplicación general para

Más detalles

MAPA DE RIESGO INSTITUCIONAL

MAPA DE RIESGO INSTITUCIONAL MAPA DE RIESGO INSTITUCIONAL SANTOS EDUARDO SUAREZ MONTAÑO 2008-2011 INTRODUCCIÒN La Administración pública introdujo el concepto de administración de riesgo en las entidades del Estado, considerando la

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

GENERALIDADES: Para la aplicación del presente procedimiento deben considerarse las siguientes generalidades y definiciones:

GENERALIDADES: Para la aplicación del presente procedimiento deben considerarse las siguientes generalidades y definiciones: PROCESO: GESTIÓN DE TECLOGÍAS DE INFORMACIÓN PROCEDIMIENTO: GESTIÓN DE STEMAS DE INFORMACIÓN Objetivo: Establecer las actividades para planificar, ejecutar, administrar y verificar las fases de desarrollo,

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza El Alcalde del municipio de Matanza, en uso de sus atribuciones Constitucionales y

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

INFORME CONTROL INTERNO CONTABLE VIGENCIA 2012 JEFE UNIDAD DE CONTROL INTERNO

INFORME CONTROL INTERNO CONTABLE VIGENCIA 2012 JEFE UNIDAD DE CONTROL INTERNO INFORME CONTROL INTERNO CONTABLE VIGENCIA 2012 JEFE UNIDAD DE CONTROL INTERNO FEBRERO 2013 INFORME CONTROL INTERNO CONTABLE VIGENCIA 2012 Para dar cumplimiento a lo establecido en la Ley 87 de 1993 y en

Más detalles

S A R L AFT Un cambio de cultura y gestión en la prevención del Riesgo de Lavado de Dinero en Paraguay

S A R L AFT Un cambio de cultura y gestión en la prevención del Riesgo de Lavado de Dinero en Paraguay S A R L AFT Un cambio de cultura y gestión en la prevención del Riesgo de Lavado de Dinero en Paraguay INSTRUCCIONES RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL

Más detalles

Continuidad de Negocio DRII/BCI/ISO

Continuidad de Negocio DRII/BCI/ISO Continuidad de Negocio DRII/BCI/ISO Jorge Garibay j.garibay@pinkelephant.com Pink Elephant Leading The Way In IT Management Best Practices Agenda del Curso Introducción al DRII BCI ISO 22K Reseña Histórica

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Modulo de Control de Planeación y Gestión

Modulo de Control de Planeación y Gestión INFORME PORMENORIZADO CUATRIMESTRAL DEL ESTADO DE CONTROL INTERNO HOSPITAL FEDERICO LLERAS ACOSTA IBAGUE, TOLIMA ESE. INFORME POR SUBSISTEMAS DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Oficina

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Superintendencia de Pensiones Junio de 2010 Índice de Contenidos LA SUPERINTENDENCIA

Más detalles

14-A NOTA 17 CONTROLES DE LEY Durante los ejercicios comprendidos entre el 1 de enero y el 31 de diciembre de 2011 y 2010, la Compañía ha dado debido cumplimiento a los controles de ley que le son aplicables,

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

ELEMENTOS GENERALES DE GESTIÓN.

ELEMENTOS GENERALES DE GESTIÓN. RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-9 Hoja 1 CAPÍTULO 20-9 GESTION DE LA CONTINUIDAD DEL NEGOCIO. El presente Capítulo contiene disposiciones sobre los lineamientos mínimos para la gestión de

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 22 Elaborado por: Revisado por: PLANEACIÓN Y EJECUCION AUDITORIAS Aprobado por: Profesional de la Jefe de la TABLA DE CONTENIDO 1. OBJETIVO... 4 2. ALCANCE... 4 3. DEFINICIONES... 4 3.1. Auditorías

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO. En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9.

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO. En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9. INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO A marzo 31 de 2015 En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9. Dirección de Control Interno (Auditoria Interna) 1 Contenido

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa Período evaluado: NOVIEMBRE 2011 FEBRERO DE 2012 Fecha

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

PROGRAMA DE PREVENCIÓN DE RIESGOS DE FRAUDE Y CORRUPCIÓN

PROGRAMA DE PREVENCIÓN DE RIESGOS DE FRAUDE Y CORRUPCIÓN PROGRAMA DE PREVENCIÓN DE RIESGOS DE FRAUDE Y CORRUPCIÓN Página 1 de 15 PROGRAMA DE PREVENCIÓN DE RIESGOS DE FRAUDE Y CORRUPCIÓN (Versión 4) INDICE 1. ASPECTOS GENERALES... 2 1.1. Marco Legal... 2 1.2.

Más detalles

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles