MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX

Transcripción

1 Página: 1 de 123 CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Mayo de 2013

2 Página: 2 de 123 Contenido 1 INTRODUCCION 4 2 OBJETIVOS OBJETIVO GENERAL OBJETIVOS ESPECIFICOS 4 3 ALCANCE 5 4 CONCEPTOS BASICOS 5 5 CAUSAS DE INTERRUPCION 7 6 GOBIERNO DE CONTINUIDAD LINEAMIENTOS NORMAS EXTERNAS ESTRUCTURA DE LA GESTION DE LA COMITE SARO - SARLAFT LIDERES PCN OFICINA DE RIESGOS ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE ENTRENAMIENTO 15 7 FASES DE LA ADMINISTRACION DEL PLAN DE FASE DE PREVENCION ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA ETAPA DE ANALISIS DE RIESGOS ETAPA DE ESTRATEGIA ETAPA DE PRUEBAS ETAPA DE MANTENIMIENTO FASE DE ADMINISTRACION DE CRISIS CONCEPTO OBJETIVOS 38

3 Página: 3 de ALCANCE 38 8 ANEXOS ANEXOS DE ESTRATEGIA TECNOLOGICA ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL ANEXOS DE PROCEDIMIENTOS ESCENARIO DE CONTINGENCIA A SITIO ALTERNO MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS ANEXOS DE TABLAS TIPOS DE AMENAZA TIPOS DE VULNERABILIDADES CRITERIOS DE FRECUENCIA CRITERIOS DE IMPACTO ANEXOS FORMATOS FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA FORMATO DE INCIDENTES DE CONTINGENCIA CASCADA TELEFONICA FORMATO GUION DE PRUEBAS Y SUS REGISTROS FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION ANEXOS RESULTADOS EQUIPO DE TRABAJO DEL PCN RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO BIA 118

4 Página: 4 de INTRODUCCION El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el menor tiempo posible, garantizando la continuidad del instituto. La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa, para responder organizadamente a eventos que interrumpen la normal operación de sus procesos y que pueden generar impactos sensibles en el logro de los objetivos. El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. 2 OBJETIVOS 2.1 OBJETIVO GENERAL Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la atención de clientes y la operación. 2.2 OBJETIVOS ESPECIFICOS Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena administración de la crisis. Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio. Asegurar una pronta restauración de las operaciones afectadas por el evento. Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores.

5 Página: 5 de 123 Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera de Colombia. 3 ALCANCE La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la organización para poder continuar operando durante un incidente o desastre, a través de la implementación de un plan de continuidad, el cual contempla los lineamientos de administración de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad. De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de crisis y los demás sistemas de gestión. 4 CONCEPTOS BASICOS Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la organización, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad del negocio. Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo. Abarca las personas, procesos de negocios, tecnología e infraestructura. Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el cual puede causar interrupción o reducción en la calidad del servicio y en la productividad. Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un incidente o un desastre. Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

6 Página: 6 de 123 Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción 1. Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del negocio. Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, igual que los recursos necesarios para su uso 2. Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos. Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre otros. Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias vulnerabilidades con impactos adversos resultantes para la Entidad. Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la naturaleza de la vulnerabilidad. Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación 1 Concepto tomado del Capítulo XXIII Reglas relativas a la administración del riesgo operativo de la Circular Básica Contable de la Superfinanciera. 2 Concepto tomado del Capítulo XII Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica Jurídica de la Superfinanciera.

7 Página: 7 de 123 física a personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad: Confiabilidad, disponibilidad y recuperabilidad. Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el riesgo o potenciar oportunidades positivas. Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin controles. Riesgo residual: Riesgo remanente tras la aplicación de controles. 5 CAUSAS DE INTERRUPCION Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios: Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo. No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso crítico se debe contar con un sitio alterno de trabajo, el cual puede ser: Suministrado por la Entidad, Ejemplo: Otra sede. Suministrado por un proveedor, contratista o aliado estratégico. Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano. No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado, adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el Icetex.

8 Página: 8 de GOBIERNO DE CONTINUIDAD 6.1 LINEAMIENTOS El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su impacto sobre el negocio. Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son: El plan de continuidad de negocio está orientado a la protección de las personas, así como al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre. Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos definidos y conocer claramente los roles y responsabilidades que le competen en el marco de la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de los Planes de Contingencia del Negocio. En caso de presentarse un incidente significativo se deben aplicar los mecanismos de comunicación apropiados, tanto internos como externos, de acuerdo con el manual de Comunicación en Situaciones de Crisis. Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de la Entidad, con la guía y coordinación de la Oficina de Riesgos. Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios para el área que representa. Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la siguiente frecuencia: o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus necesidades.

9 Página: 9 de 123 o El monitoreo a los riesgos de continuidad se efectuará de manera semestral. o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas. o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de contingencia. Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en los Planes de Continuidad del Negocio. La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación de Tolerable. Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan. Los planes de contingencia deben mantenerse actualizados, para lo cual se deben desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen las áreas involucradas. 6.2 NORMAS EXTERNAS La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un Plan de Continuidad de Negocios, que cumplan con los siguientes elementos: Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. Circular 038/2009 Sistema de Control Interno: Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad para responder a las fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la normalidad.

10 Página: 10 de 123 Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas. Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este documento. 6.3 ESTRUCTURA DE LA GESTION DE LA Para asegurar una adecuada administración de la continuidad del negocio se estableció un estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de Proceso, como de la Alta Gerencia. Esa administración está conformada por: COMITE SARO - SARLAFT La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es responsable de administrar la continuidad de la operación del Instituto. A continuación se mencionan los integrantes del comité, su rol y responsabilidad frente a este item: COMITÉ SARO SARLAFT ROLES DE CONTINGENCIA Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad Jefe de Riesgos Director Alterno de Continuidad Secretaria General Líder de Administración /Recuperación Infraestructura Física Director de Tecnología Líder de Recuperación Tecnológica Vicepresidente Financiero Coordinadores de Recuperación Vicepresidente de Crédito y Cobranza Vicepresidente de Fondos en Administración Jefe de Control Interno Tareas de apoyo, control y cumplimiento Jefe Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Jefe oficina Asesora de Comunicaciones (Su participación Asesor de Comunicaciones será por solicitud del Comité SARO-SARLAFT) Roles de Miembros de Comité SARO - SARLAFT

11 Página: 11 de 123 En caso en que el Comité active el plan de continuidad, podrá invitar a otros funcionarios responsables de actividades que impacten la operación del negocio, caso la Oficina Asesora de Comunicaciones. A) ROLES Y RESPONSABILIDADES A continuación se describen los roles y responsabilidades de los integrantes del Comité en lo respectivo al plan de continuidad; vale aclarar las personas nombradas como principales y sus suplentes (alternos) tienen las mismas responsabilidades. Director de Continuidad El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de continuidad del negocio. Es responsable de declarar la contingencia ante el escenario de interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité SARO- SARLAFT o en situaciones donde amerite realizar su activación inmediata. Responsabilidades Delegar de manera expresa en el Comité SARO- SARLAFT, la responsabilidad de actualizar, mantener y probar el plan de continuidad. Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de recuperación y contingencia de la entidad. Liderar las reuniones del Comité SARO SARLAFT. Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la entidad y que ponen al descubierto debilidades del plan de continuidad. Monitorear los reportes sobre el estado de recuperación o evaluación durante una contingencia. Velar por la seguridad del personal que actúa en el área del evento. Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario de interrupción de lugar teniendo en cuenta el resultado de la evaluación Velar por la ejecución del debido análisis causa raíz del evento que ocasionó la contingencia. Director Alterno de Continuidad Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste no se encuentre disponible.

12 Página: 12 de 123 Es responsable de declarar la contingencia ante un incidente tecnológico de algún aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de Tecnología. Realizar las actividades que le sean asignadas por el Director de Continuidad. Líder Administrativo El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad se encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las instalaciones el suministro de elementos esenciales para asegurar el desarrollo de la operación. Responsabilidades Coordinar el suministro de elementos esenciales como transporte, recursos de infraestructura y papelería. Gestionar la consecución y adecuación de los centros alternos de operaciones según el plan de operaciones en contingencia. Mantener informado al Comité SARO-SARLAFT sobre incidentes por falta de suministros. Líder de Recuperación Tecnológica Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de continuidad implementadas. Es el contacto directo entre la Dirección de Tecnología y el Comité SARO - SARLAFT; además, apoya las decisiones tomadas por el Director de Continuidad durante la declaración y activación de la contingencia. Responsabilidades Liderar la recuperación tecnológica, basados en las estrategias de continuidad implementadas. Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la operación normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad. Mantener comunicación constante entre Coordinadores de Recuperación del Negocio durante el estado de contingencia. Colaborar en la comunicación a los proveedores de los temas o servicios de su competencia, sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones. Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la recuperación.

13 Página: 13 de 123 Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y responsabilidades, disponibilidad de los recursos, entre otros. Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en las mismas. Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Coordinadores de Recuperación Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de procesos de negocio críticos, basados en las estrategias de contingencia. Son el contacto directo entre los procesos de negocio y el Comité SARO-SARLAFT; además, colaboran con las decisiones tomadas por el Director de Continuidad y el Comité SARO-SARLFT durante la declaración y activación de la contingencia. Responsabilidades Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las interrupciones que están afectando la prestación del servicio. Ejecutar los planes de contingencia ante el incidente presentado. Identificar los posibles riesgos que afectan la continuidad de la operación normal de la Entidad y que ponen al descubierto debilidades del plan de continuidad. Mantener comunicación constante durante el estado de contingencia. Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad, mediante comunicado elaborado en conjunto con la Oficina Asesora de Comunicaciones. Entregar los reportes correspondientes al Comité SARO-SARLAFT sobre el estado de la recuperación de sus áreas. Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en la misma. Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas. Responsable de tareas de apoyo, control y cumplimiento Responsabilidades Realizar las actividades que le sean asignadas durante la declaración de contingencia. Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la funcionalidad del plan.

14 Página: 14 de 123 Asesor de Comunicaciones El funcionario de la Oficina Asesora de Comunicaciones tiene la responsabilidad de asesorar en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel externo (clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con el Manual de gestión de la comunicación en situaciones de crisis. Responsabilidades Asesorar al Comité SARO-SARLAFT y específicamente al Director de Continuidad en temas de comunicación en momentos de crisis. B) LINEA DE SUCESION Se identifica los responsables asignados a los diferentes roles del plan de continuidad y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. CARGO PRINCIPAL CARGO ALTERNO Presidente del Icetex o su delegado, quien Jefe de Riesgos presidirá el Comité Jefe de Riesgos Director de Tecnología Secretaria General Asesor Técnico de Secretaria General Director de Tecnología Coordinador de Infraestructura Vicepresidente Financiero Director de Contabilidad Vicepresidente de Crédito y Cobranza Director de Cobranzas Vicepresidente de Fondos en Administración Analista de Vicepresidente de Fondos en Administración Jefe de Control Interno Coordinador de la Oficina de Control Interno Jefe Oficina Asesora Jurídica Analista de Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Coordinador de Riesgos de Crédito y Analista de Plan de Continuidad de Negocios Operativo Línea de sucesión LIDERES PCN Cada área cuenta con un Líder de PCN, quien tiene las siguientes responsabilidades en la administración del plan de continuidad sobre los procesos / procedimientos a cargo: Actuar como punto focal del área para todos los asuntos de continuidad del negocio. Cumplir con las actividades y fechas establecidas del Cronograma de PCN. Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de contingencia que les compete. Asegurar la aplicación correcta de los PCN al interior del área.

15 Página: 15 de 123 Revisar el impacto en el área durante el incidente. Mantener actualizados los documentos de PCN del área (BIA, Estrategia de Recuperación, Cascada telefónica, Análisis de Riesgos. etc). En el Anexo No se encuentra la Relación de los Líderes de PCN y Líderes de Proceso del Icetex OFICINA DE RIESGOS La Oficina de Riesgos tiene a cargo las siguientes funciones en el plan de continuidad: Definir e implementar los instrumentos, metodologías y procedimientos tendientes a gestionar efectivamente el PCN. Suministrar los programas de capacitación de PCN. Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área. Guiar en el desarrollo de las diferentes etapas del PCN. 6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE La Administración del Plan de continuidad del Negocio está conformada por los siguientes elementos: Planes de Contingencia de Proceso, abarcando los escenarios de falta de personal, no disponibilidad del sitio normal de trabajo y no contar con los proveedores críticos del negocio. Planes de Recuperación de Desastres DRP, el cual contempla las diferentes estrategias definidas para la recuperación de los sistemas. Plan de Continuidad del Negocio: Procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio 6.5 ENTRENAMIENTO En el éxito del Plan de Continuidad es fundamental contar con la participación y el compromiso del personal involucrado en el mismo. La administración de continuidad debe asegurar que todos los funcionarios involucrados reciban entrenamiento sobre los procedimientos a seguir en caso de incidentes o desastres, lo cual permite tomar conciencia de la importancia del plan, ya que serán los encargados de ponerlos en funcionamiento en caso de presentarse un evento no

16 Página: 16 de 123 deseado. A los Jefes de las áreas también se les capacita y concientiza, ya que son los responsables de la correcta ejecución de los planes. La Oficina de Riesgos suministra los programas de capacitación, para que sean ofrecidos a todo el personal a través de la Secretaria General Grupo de Talento Humano. Dentro de la política de capacitación se contempla suministrar a todos los funcionarios capacitación anual de Plan de Continuidad de Negocios a través de la herramienta e-learning, así como en el proceso de inducción.

17 Página: 17 de FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO La Administración del Plan de Continuidad de Negocio la componen dos (2) fases, como son: 7.1 FASE DE PREVENCION En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan los diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto. Está conformada por las siguientes etapas: ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA A) CONCEPTO El Análisis de Impacto del Negocio (de ahora en adelante se identifica como BIA), es una etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Esta actividad conlleva a identificar los procedimientos críticos de la Entidad, los recursos utilizados para soportar las funciones, así como sus proveedores, también determinar los sistemas críticos y estimar el tiempo que la Entidad puede tolerar en caso de un incidente o desastre.

18 Página: 18 de 123 B) OBJETIVO El BIA se constituye en el pilar sobre el que se va a construir el Plan de Recuperación de Negocios, es la guía que determina qué necesita ser recuperado y el tiempo requerido para recuperación. C) ALCANCE A través del desarrollo del BIA se obtiene la siguiente información: Evaluación de los procedimientos, donde se establece cuáles son primordiales para la continuidad de la Entidad. Determinación de los impactos de una interrupción y cuando empiezan. Priorización y establecimiento del período de tiempo en el que los sistemas, aplicaciones y funciones deben ser recuperados después de una interrupción (RTO). Determinación del orden de recuperación. Establecimiento del tiempo máximo tolerable permitido de pérdida de información ante una interrupción en los sistemas de información (RPO). Definición de los recursos necesarios para el buen desarrollo de los procedimientos a nivel de: Tecnología, personal, infraestructura y soporte proveedores. D) FASES DEL BIA Para desarrollar la etapa de Análisis de Impacto del Negocio - BIA se ha establecido cumplir con los siguientes pasos: i. PLANEACION Contempla los aspectos para el correcto y completo desarrollo del BIA, como son: Identificación Procesos y Procedimientos: Obtener la relación de los procesos y procedimientos para realizar la Evaluación BIA. Equipo de Planeación: Cada área cuenta con un Líder de PCN, que en conjunto con el Líder de Proceso evalúan bajo la metodología BIA los procedimientos asignados.

19 Página: 19 de 123 ii. METODOLOGIA BIA Todos los procedimientos de la Entidad, así como los recursos tecnológicos en los que se soportan tales actividades son clasificados de acuerdo con su prioridad de recuperación. Para ello se mide el tiempo que puede dejar de realizar tal actividad sin que ello cause pérdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales. En caso de continuidad todo gira alrededor del impacto, buscando sostener la operación crítica de la Entidad. La metodología establece el diligenciamiento del Documento BIA (ver anexo No ), el cual es aplicado para cada una de los procedimientos que se realizan en la Entidad, utilizando el mismo patrón de calificación. A continuación se detalla el Documento BIA diseñado en la herramienta Excel: CUESTIONARIO DE EVALUACION BIA Permite analizar los impactos que puede causar el no ejecutar un procedimiento por encontrarse ante un incidente o desastre. Los impactos contemplados son: Regulatorio/ Legal: Incluye pérdidas por no presentar reportes financieros o de impuestos en las fechas indicadas, demandas o penalizaciones al incumplir requerimientos obligatorios en las actividades de la Entidad. Financiero: Incluye pérdida de ingresos, pérdida de intereses, costos de pedir dinero prestado para hacer caja, pérdida de ingresos por préstamos no realizados, penalizaciones por no cumplir compromisos contractuales o niveles de servicio y pérdidas de oportunidades durante el tiempo inoperante. Reputacional: Incluye la pérdida de confianza por parte de los clientes, del mercado y de los Entes de Control, reclamaciones de responsabilidad, clientes insatisfechos por el servicio, apariciones en las noticias por quejas de los clientes y pérdida de reputación. Servicio al cliente: Incluye el deterioro del servicio al cliente que impide la adecuada y oportuna atención a las necesidades de los usuarios. Operativo: Incluye la suspensión de la operación y los reprocesos que ello puede ocasionar. Para responder las preguntas se debe tener en cuenta la tabla del numeral de este documento denominada Criterios del Impacto. La escala de valoración del impacto es la siguiente: Legal Económico Servicio al Cliente Reputacional Procesos

20 Página: 20 de 123 Escala de Valoración del Impacto El cuestionario estima el tiempo durante el cual un procedimiento puede estar sin operar antes de sufrir impactos considerables para la Entidad. Con base en ello, se fija un Tiempo de Recuperación Objetivo (RTO), que consiste en establecer cuánto tiempo puede permanecer la Entidad sin ejecutar una actividad, el uso de una aplicación o información relevante; está asociado con el tiempo máximo de inactividad. En consecuencia, la mayoría de las preguntas buscan determinar el tiempo en que se puede impactar la Entidad o los clientes por dejar de realizar el procedimiento ante una interrupción. Adicional, existe la pregunta referente a sí el procedimiento analizado proporciona información crítica para cualquier otro procedimiento, con el fin de determinar interdependencias. Como resultado de la evaluación se genera las siguientes valoraciones: Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos analizados por no ejecutarse el procedimiento. Esto se deriva a través de la realización del cuestionario BIA. Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una interrupción, mediante el cual el Instituto debe activar sus planes de contingencia y recuperación de las actividades críticas para evitar un impacto significativo. Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y que impulsa el establecimiento de prioridades de recuperación durante una situación difícil. La tabla de valoración establecida es la siguiente: Tabla Valoración del BIA Calificación BIA Tiempo Objetivo de Recuperación (RTO) Valor del BIA N - 1AAA 4 Horas Misión Critica N - 1AA 8 Horas Misión Critica N - 1A 24 Horas Masivo Nivel 2 48 Horas Masivo Nivel 3 7 días Medio Nivel 4 14 días Medio Nivel 5 30 días Bajo Nivel 6 > 30 días Insignificante Tabla de valoración del BIA Esta información será el punto de partida para desarrollar las estrategias de recuperación.

21 Página: 21 de 123 Determinación del Punto de Recuperación Objetivo de la información RPO: El parámetro de Punto de Recuperación Objetivo de la Información determina la periodicidad con la que deben salvaguardarse los datos de los procesos del negocio; cuánto más pequeño sea el RPO más sólido debe ser el mecanismo de protección de datos (backup, replicación online, etc). El cuestionario de Evaluación BIA contiene la pregunta dirigida a establecer el Punto Objetivo de Recuperación (RPO) por procedimiento, la cual permite establecer el apetito de riesgo de pérdida de información ante un incidente tecnológico. Los parámetros de RTO y RPO influyen en la infraestructura de soporte y respaldo que utilice la Entidad. Requerimientos Infraestructura: El análisis de los procedimientos está acompañado de la identificación de los requerimientos de personal, recursos y facilidades necesarias para su operación ante un evento de contingencia. Para ello, se tiene dispuesto la hoja de Cálculo Requerimientos Tecnológicos del documento BIA, donde el Líder de PCN diligencia la información referente a: Número de colaboradores de tiempo completo para ejecutar el proceso. Recurso humano requerido en contingencia. Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se determina la criticidad de los aplicativos del Icetex. Elementos logísticos como son: teléfono, impresora, escáner etc. Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta compartida del área.

22 Página: 22 de 123 Información de Proveedores Externos: El BIA identifica la relación del procedimiento con proveedores externos y en la hoja de cálculo denominada Información Proveedores del Documento BIA se mencionan los proveedores críticos. APROBACION DE LA EVALUACION Cada procedimiento evaluado por la metodología BIA es revisado, analizado y aprobado por el Líder del Proceso y como evidencia se genera el documento Resultados del Análisis de Impacto de Negocio (BIA), el cual es firmado por el Líder de Proceso y Líder de PCN del área. iii. RECOPILACION DE DATOS Y DOCUMENTACION DE HALLAZGOS Los resultados de la Evaluación BIA de todos los procedimientos son consolidados por la Oficina de Riesgos. De esta información se producen los siguientes resultados, que deben ser informados al Comité SARO SARLAFT: Número de procesos y procedimientos evaluados. Clasificación de los procedimientos por calificación BIA. Establecimiento de los procedimientos críticos de la Entidad, de acuerdo con la calificación BIA. Cantidad de recursos humanos requeridos en contingencia: Número de personas que apoyan la contingencia ante una interrupción de las operaciones. Recursos de Bienes Muebles clasificado por calificación BIA: Se establecen los bienes muebles necesarios en la contingencia, como son: Computadores, teléfonos, escáneres, impresoras y otros elementos necesarios en contingencia. Dependencia de los proveedores externos en los procesos prioritarios: Definir los proveedores críticos con el fin de involucrarlos en la estrategia de PCN. Recursos Tecnológicos: Es necesario suministrar la información de: Detalle de los aplicativos requeridos para el desarrollo adecuado y completo de cada procedimiento, con el fin de contar con la información necesaria para el alistamiento de los computadores que se disponen como contingencia en el escenario de Interrupción de Lugar. Adicionalmente, esta es la fuente para establecer el orden de criticidad de los aplicativos. El punto objetivo de recuperación (RPO): Con el fin de establecer las estrategias de backup adecuadas para garantizar que en caso de caída y daño de los data files en una base de datos, se restaure la información con el mínimo de pérdida. En el Anexo No describe el resultado de la última Evaluación del BIA.

23 Página: 23 de ETAPA DE ANALISIS DE RIESGOS En esta etapa se identifican y analizan las posibles amenazas y/o vulnerabilidades de personas, sistemas, infraestructura y procesos que podrían ocasionar riesgos de continuidad para la Entidad, con el fin de medir el nivel del riesgo. A) OBJETIVOS La gestión de riesgos de continuidad tiene por función especial reducir la probabilidad de una amenaza potencial o vulnerabilidad y reducir el impacto que puede provocar un evento de desastre o una interrupción significativa en los servicios. B) METODOLOGIA DE ANALISIS DE RIESGO A continuación se detalla la Metodología de Análisis de Riesgos, la cual cubre los aspectos relacionados a continuación: Identificación de riesgos de continuidad Cálculo del riesgo inherente Evaluación de controles Cálculo del riesgo residual Tratamiento del riesgo residual IDENTIFICACION DEL RIESGO El Líder de PCN de cada Área en conjunto con el Analista encargado de la Oficina de Riesgos procede de la siguiente manera: 1. Determinar los procesos críticos del área a cargo, resultado que se obtuvo en la etapa de Análisis de Impacto del Negocio (BIA). 2. Establecer los recursos necesarios para la continuidad de los procedimientos críticos, que también se estimaron en la etapa de Análisis de Impacto del Negocio (BIA). 3. Describir las posibles amenazas que conlleven a una interrupción en la operación. Para ello, es necesario tomar como guía el anexo No denominado Tipos de Amenazas, donde se detallan posibles fuentes de peligro, las cuales se deben evaluar identificando si tales situaciones pueden darse en el proceso analizado.

24 Página: 24 de Determinar las vulnerabilidades que tiene el proceso para cada amenaza identificada. Para identificarla es necesario responder esta pregunta: Cómo puede ocurrir una amenaza? Al responderla se definen las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro del Instituto puede darse esa circunstancia. Se recomienda utilizar como guía con el anexo No denominado Tabla de Vulnerabilidades, donde se encuentra una relación de debilidades que podrían llegar a generar la interrupción del proceso. Es de aclarar, que esta tabla es solamente una guía pudiendo incluirse muchas otras situaciones de debilidades. 5. Describir el riesgo contemplando las variables de amenaza y vulnerabilidad. 6. Enmarcar estas vulnerabilidades en los siguientes factores de la continuidad, de acuerdo con la tabla 8.4.2: Personas Infraestructura física Infraestructura de tecnología de información Procesos CALCULO DEL RIESGO INHERENTE El riesgo de continuidad se evalúa con dos (2) variables de medición, una que expresa el impacto del riesgo si ocurriera y otra que expresa la frecuencia de que el riesgo ocurra. En consecuencia, para la evaluación del riesgo de continuidad se utilizar las tablas de los numerales Criterios de Frecuencia y Criterios de Impacto, las cuales contienen los criterios que permiten ubicar al Líder del Plan de continuidad del Negocio para efectuar la evaluación. Frecuencia: Se deben estimar la frecuencia para cada vulnerabilidad del riesgo, según la siguiente escala de medición: Escala de medición Muy baja Baja Moderada Alta Muy alta Para establecer el resultado de la frecuencia, se promedia las calificaciones asignadas en las diferentes vulnerabilidades que conforman el riesgo. Impacto: El impacto se mide por riesgo y es analizado teniendo en cuenta el nivel de afectación sobre los siguientes factores de influencia:

25 Página: 25 de 123 Regulatorio/ Legal Financiero Servicio al cliente Impactos Reputacional Operativo Humano Infraestructura Para establecer el resultado del impacto para cada riesgo se toma la calificación del cuestionario BIA. Habiendo valorado tanto el Impacto como la frecuencia del evento de riesgo, los dos puntajes son multiplicados para dar el puntaje de riesgo Inherente. Dado que tanto la Frecuencia como el Impacto son calificados de 1 a 5, el puntaje de riesgo total o inherente máximo es 25 y el mínimo es 1. EVALUACION DE LOS CONTROLES Este proceso permite evaluar todos los controles asociados a las vulnerabilidades identificadas, garantizando a la Entidad que se apliquen los tipos y niveles adecuados de control para poder dar un adecuado tratamiento al riesgo. Los criterios de evaluación del control son: Oficialidad, Aplicación y Efectividad, a los cuales se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100. El criterio de Oficialidad es calificado teniendo en cuenta cuatro (4) variables: Control no documentado, no aporta valor al total del criterio. Control documentado, aporta al total del criterio una calificación de 8 puntos. Control aprobado, aporta al total del criterio una calificación de 8 puntos. Control divulgado, aporta al total del criterio una calificación de 4 puntos, para un total de 20 puntos. El segundo criterio es la Aplicación, el cual aporta un total de 30 puntos, siendo necesario seleccionar una de las tres (3) opciones, así: El control nunca se aplica, no aporta valor al total del criterio. Se aplica a discreción, arroja una calificación de 10. Se aplica siempre, tiene una calificación de 30. Para evaluar la Efectividad del control se tienen en cuenta los siguientes aspectos:

26 Página: 26 de 123 Comprobada la efectividad, donde se debe contar con la evidencia física que dada la aplicabilidad del control se ha prevenido, detectado o mitigado un riesgo. La calificación es de 50 puntos. Percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en cuanto a la efectividad del control es positiva. La calificación es de 30 puntos. Percepción negativa, donde la percepción del experto es negativa en cuanto a la efectividad del control. La calificación es de 10 puntos. Comprobada la no efectividad, en donde se tiene la evidencia que el control no es efectivo para la prevención y detección de riesgos, dándole una calificación 0 puntos. La puntuación obtenida del control genera una calificación, como se ilustra en la siguiente tabla: RANGO DE CALIFICACION DE LOS CONTROLES DEPENDIENDO SI EL CONTROL AFECTA FRECUENCIA O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA A LOS RIESGOS CUADRANTES A DISMINUIR EN CUADRANTES A DISMINUIR EN LA FRECUENCIA EL IMPACTO Entre Entre Entre Calificación del Control Los controles se clasifican en: Controles preventivos: Son aquellos que reducen las vulnerabilidades y la frecuencia con que ocurren las causas del riesgo. Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Estos no reducen el riesgo a menos que se tomen acciones sobre tales detecciones. Controles correctivos: Son mecanismos o acciones definidas para reducir el impacto de los eventos que ponen en riesgo el logro de los objetivos del proceso. Cuando una vulnerabilidad tiene varios controles que mitigan el factor de frecuencia, éstos se agrupan y se toma el valor más alto de las calificaciones obtenidas de los controles. De igual manera se procede cuando una vulnerabilidad tiene varios controles que mitigan el impacto.

27 Página: 27 de 123 CALCULO DEL RIESGO RESIDUAL Luego de la valoración de los controles se identifica el efecto de mitigación en frecuencia e impacto del riesgo, para lo cual la Matriz de Riesgo de Continuidad determina el riesgo residual, así: Ubica el valor del control que se obtuvo sobre la variable de frecuencia en la Tabla Calificación del Control, estableciendo el efecto de mitigación que indica la columna Cuadrantes a disminuir en la frecuencia. Este valor se resta a la frecuencia obtenida en riesgo inherente. Rango de calificación de controles Frecuencia Cuadrante a disminuir en la Frecuencia Valor Frecuencia Residual 80 puntos De igual manera se procede con los controles dispuestos para disminuir el impacto del riesgo, obtenido el valor del control que se obtuvo sobre la variable de impacto en la Tabla Calificación del Control, estableciendo el efecto de mitigación que indica la columna Cuadrantes a disminuir en el impacto. Este valor se resta al impacto obtenido en riesgo inherente. Calificación control Valor Impacto Impacto Efecto mitigación sobre Impacto Residual 60 puntos Se multiplica el nuevo valor de frecuencia por el nuevo valor del impacto aplicado los controles, obteniendo así el Riesgo Residual. Frecuencia Impacto Riesgo Inherente Frecuencia Impacto Riesgo Residual El Riesgo Residual se ubica en la siguiente Escala de Clasificación del Riesgo: NIVEL CLASIFICACIÓN 0-3 Aceptable 4-6 Tolerable 7-15 Grave Critico

28 FRECIUENCIA Código: Página: 28 de 123 Al presentarse dentro del Mapa Térmico, se ubica el valor del Riesgo Residual, teniendo en cuenta los nuevos resultados de la frecuencia e impacto aplicados los controles: IMPACTO TRATAMIENTO DEL RIESGO RESIDUAL A partir de la evaluación y análisis de los riesgos, se priorizan de mayor a menor criticidad, a fin de tomar decisiones de cómo actuar sobre los mismos. Esta metodología pretende actuar sobre los riesgos que estén fuera del rango de aceptabilidad. El tratamiento del riesgo residual debe ir orientado a cualquiera de las siguientes opciones: Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión administrativa. Mitigar el riesgo: Se consigue mediante la optimización de los procedimientos y la implementación de controles tendientes a disminuir la frecuencia de ocurrencia y/o minimizar la severidad de su impacto. Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares, procesos o personas. Transferir el riesgo: Actividades y medidas tendientes a transferir a un tercero la responsabilidad por el manejo del riesgo y/o la obligación por las consecuencias financieras del riesgo, en caso de ocurrencia. Esta técnica no reduce la frecuencia ni el impacto, involucra a otro en la responsabilidad. P. e. Pólizas de Seguros, Subcontrataciones.

29 Página: 29 de 123 Asumir el riesgo: Aceptación del riesgo en razón a que los retornos potenciales son atractivos en relación con los riesgos involucrados. Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el Líder de Proceso debe establecer planes de acción que busquen reducir la exposición de la Entidad a través de la creación de nuevos controles o la implementación de modificaciones a los controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se reportará su avance al Comité SARO-SARLAFT, con el fin de tomar las decisiones respectivas para su tratamiento y mitigación. Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por los Líderes de Riesgo, garantizando la eficacia de los controles. Si se percibe un incremento en el nivel del riesgo debe ser informado inmediatamente a la Oficina de Riesgos, con el fin de realizar la respectiva reclasificación y acordar acciones. C) MONITOREO AL MAPA DE RIESGOS DE CONTINUIDAD Se realiza seguimiento a los riesgos y la efectividad de los controles y planes de acción para determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se requieren para la continuidad del negocio. El Líder de PCN efectúa seguimiento permanente sobre la implementación de los planes de acción y la verificación de la efectividad de los controles y a la vez identificando nuevos riesgos. Adicionalmente, se realiza monitoreo con frecuencia semestral por parte del Líder de PCN de cada una de las áreas con apoyo del Funcionario Responsable en la Oficina de Riesgos y éste es aprobado por el Líder del Proceso. Este monitoreo se realiza en la Matriz de Riesgo de PCN. Dentro del monitoreo, la Oficina de Riesgos debe proponer al Comité SARO-SARLAFT las medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al riesgo fijado por la Entidad. D) REPORTE DE INCIDENTES DE CONTINUIDAD Los incidentes que afecten la continuidad de la operación deben ser reportados por los Líderes de PCN a la Oficina de Riesgos, a través del formato Reportes de Incidentes de Contingencia (Ver numeral 8.5.2), dentro de los tres (3) días hábiles siguientes a la ocurrencia del hecho.

30 Página: 30 de ETAPA DE ESTRATEGIA A) CONCEPTO Corresponden a las acciones que se deben tomar con el objetivo de restablecer las operaciones del negocio, en el plazo determinado, una vez que ocurra alguna interrupción o falla en los procesos o funciones críticas. Es necesario identificar las diferentes estrategias de continuidad y seleccionar las más adecuada para la institución, para lo cual el Líder de PCN de cada área junto con el Profesional del tema en la oficina de Riesgos analizarán las variables de: La criticidad del proceso a proteger El costo de la estrategia El tiempo de recuperación objetivo (RTO) B) OBJETIVOS Permitir a la Entidad trascender ante la crisis y recomponerse en el menor tiempo posible, con un aceptable nivel de servicio. Garantizar que los Empleados: Estén protegidos Comprenden su papel Saben a dónde ir Saben qué hacer Saben qué recursos necesitan Entienden la secuencia de las tareas críticas Ayudar a planificar la recuperación y reanudación de las operaciones. Validar asuntos de recuperación de la Entidad, como: Necesidades de telecomunicaciones durante y después del desastre. Lugar alterno para continuidad/recuperación y reanudación. C) ALCANCE La selección de los métodos alternativos de operación que deben ser utilizados ante una interrupción para mantener o reanudar las actividades de la Entidad y sus dependencias.

31 Página: 31 de 123 Las diferentes situaciones para las cuales se deben definir estrategias de recuperación son: Ausencia de personal Sitio alterno Fallas tecnológicas D) ESTRATEGIAS POR AUSENCIA DE PERSONAL Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para desarrollar las actividades propias de su cargo. Se debe establecer la siguiente cadena de comunicación: El colaborador ausente activa la Cascada Telefónica y se comunica con el Jefe inmediato. El Jefe inmediato comunica el evento al Jefe del Area y activa la contingencia por Ausencia de Personal. Distribuye procesos claves o asigna funciones al colaborador Back - up. De ser necesario, solicita al Oficial de Seguridad Tecnológica la reasignación de perfiles, a través del formato F121 Formato asignación de accesos a sistemas de información. El Jefe inmediato confirma al Jefe del Area la continuidad exitosa de los procesos. El documento denominado Cascada Telefónica cuenta con la información básica de los colaboradores y proveedores con el ánimo de utilizarlos en un evento de contingencia, como es: Funcionarios: Mantener la información de los colaboradores permite comunicarse con ellos en el evento que se encuentren fuera de las instalaciones. Proveedores: Para comunicarse con los proveedores en un sitio alterno donde se carece de la información de contacto. Cada área cuenta con la información de Cascada Telefónica, la cual está conformada por: Cascada: Contiene los datos básicos de los colaboradores: nombres, cargo, número de teléfono personal y sí fue definido como personal crítico para operar la contingencia o no. Se encuentran descritos en el orden que serán llamados ante un evento.

32 Página: 32 de 123 Personal mínimo: En este se relaciona las personas críticas sobre las cuales depende la ejecución de la actividad. Se encuentran relacionados los colaboradores que participarán en la contingencia por cada procedimiento. Contacto Externo: Relaciona los datos básicos de los proveedores: nombre del proveedor, nombre del procedimiento/proceso de la Entidad en el cual participa, nombre del contacto personal, teléfono de la oficina y móvil y correo electrónico. En el numeral se encuentra el formato de Cascada Telefónica. La información de Cascada Telefónica de cada área la conserva el Líder de PCN y la consolidación de la misma reposa en la Oficina de Riesgos. E) ESTRATEGIA DE SITIO ALTERNO La alternativa de traslado del personal se presenta en el evento que los funcionarios no puedan acceder a las instalaciones del Icetex y de esta manera se afronta un evento de contingencia permitiendo la continuidad de las operaciones de los procesos críticos del Icetex desde un sitio alterno de operación. Las alternativas podrán ser usadas simultáneamente dependiendo de la disponibilidad del proveedor en el momento de la interrupción del Icetex, además depende de la activación y numero de procesos que se activen según el evento y el día en que se presente. El numeral Procedimiento de Estrategia de Sitio Alterno, aporta las actividades que se deben seguir para recuperar el servicio utilizando recursos de un centro de operaciones alterno. F) ESTRATEGIA TECNOLOGICA La contingencia se presenta cuando el hardware y/o software presenta fallas, o por interrupción prolongada de telecomunicaciones. La Dirección de Tecnología tiene estructurado el siguiente Plan de Continuidad para los aplicativos e infraestructura de la Entidad:

33 Página: 33 de 123 APLICATIVOS C&CTEX Apoteosys Mercurio Cobol Bizagi Sevimpro Correo Electrónico Red Centro Computo Servidor INFRAESTRUCTURA RED LAN RED WAN Telecomunicaciones ETB Switches Centro cableado HUB Firewall Routers Enlaces Aire acondicionado Sistema de incendio Sistema eléctrico UPS Base de datos Sistema operativo Software base de datos Servidor Hardware Este cuadro presenta las partes de infraestructura tecnológica que se les realiza estrategia de contingencia, con el fin de asegurar la continuidad de cada uno de los servicios (aplicativos), como son: Red, Centro de Cómputo y Servidores desglosado por los temas que la componen. El detalle de estas estrategias tecnológicas se encuentra en el numeral 8.1, de este documento. Ante una falla tecnológica se debe ejecutar el Procedimiento de Manejo de Incidentes por problemas en los sistemas, descrito en el numeral G) ESTRATEGIA CONTINGENCIA MANUAL Alterno a este plan, es importante considerar la posibilidad de carecer del sistema para operar, teniendo como elección realizar la actividad de forma manual. Por esta razón, se estructuran estrategias de contingencia manual, para aquellos calificados como críticos y que permitan operar sin un sistema base. Los Líderes de PCN y de Procesos y la Oficina de Riesgos han desarrollado las estrategias manuales que se disponen en el numeral 8.2 de este documento.

34 Página: 34 de ETAPA DE PRUEBAS A) CONCEPTO Consiste en probar la efectividad de las estrategias diseñadas y permitir el continuo mejoramiento del PCN de la Entidad. Esta etapa le da a la Institución la oportunidad de identificar y prevenir problemas y fallas con su plan de continuidad de manera que puedan ser atendidas, preparando el negocio para la emergencia real. B) OBJETIVOS Practicar los procedimientos ante un incidente o desastre. Identificar áreas que necesitan mejora. Permitir al PCN permanecer activo, actualizado, entendible y usable. Demostrar la habilidad de recuperación. C) ALCANCE DE LAS PRUEBAS Las pruebas deben ejecutarse durante un tiempo en el que las afectaciones a la operación normal sean mínimas y deben comprender los elementos críticos y simular condiciones de proceso, aunque se realicen fuera del horario laboral de la Entidad. Las pruebas deben incluir las siguientes tareas: Verificar la totalidad y precisión del Plan. Evaluar el desempeño del personal involucrado. Evaluar la coordinación entre los miembros del grupo de contingencia, proveedores y otros terceros. Identificar la capacidad de recuperar registros e información vital. Medir el desempeño de los sistemas operativos y computacionales. Durante esta etapa se debe establecer un programa de pruebas con escenarios simulados, planeados en el tiempo, teniendo en cuenta los requerimientos de cada prueba y con una revisión exhaustiva de los resultados de las mismas, para generar mejoras a los planes.

35 Página: 35 de 123 D) TIPO DE PTUEBAS En la siguiente grafica se ilustra la metodología que se debe utilizar para la realización de las pruebas del plan de continuidad de negocio del Icetex: Prueba Integrada Pruebas Componentes Pruebas de Escritorio TIPO DE PRUEBA TECNICA UTILIZADA Integrada Creación de un escenario Seguimiento en vivo de todas las estrategias re recuperación Con previo aviso. Apoyo de los proveedores de recuperación Componentes Creación de un escenario Seguimiento de las estrategias de recuperación Con previo aviso. Escritorio Con previo aviso. Creación de un escenario. OPERACIÓN Prueba integrada con todos los elementos que hacen parte del plan de contingencia. Se ejecutan las estrategias y procedimientos de recuperación de cada uno de los componentes de la infraestructura tecnológica. Se realiza un ejercicio de papel de un escenario de desastre que toma lugar en un salón de conferencia. E) PLAN DE PRUEBAS Para la realización de una Prueba de Estrategia de Continuidad es necesario diligenciar el documento Plan de Pruebas (ver anexo No ), conformado por los siguientes pasos: Guion de pruebas: Es el documento mediante el cual se plasma la intención de efectuar la revisión de la estrategia de continuidad estimada para el proceso o servicio determinado, donde se relacionan aspectos de: Objetivo y alcance de la misma, el escenario de interrupción, los resultados esperados, los integrantes de las pruebas y los riesgos asociados a la ejecución de la prueba. Este documento debe desarrollarlo previo a la ejecución de la prueba el Líder de PCN responsable del proceso a probar con la guía del funcionario encargado en la Oficina de Riesgos. Paso a paso de la planeación: Este documento relaciona las actividades a efectuar durante la prueba, indicando además los responsables de realizar tales actividades así como los recursos mínimos necesarios y los tiempos de su realización, para la estimación completa