Gestión del Riesgo

BUSSINES CONTINUITY MANAGEMENT

Plan estrategico, tactico y operativo de SUMISERVIS Ltda. para planificar y
responder eficazmente ante incidentes e interrupciones del negocio garantizando
la recuperacion o continuacion de las actividades de la compañía.

Elaborado por: Revisado por: Aprobado por:

Dirección de Sistemas Integrados Comité de Calidad Gerencia General
Introducción
SUMISERVIS Ltda., fue creada y se mantiene en marcha con el proposito de generar valor a quienes confian en Ella,
sin embargo el entorno de negocios de la organización presenta constantemente retos y situaciones criticas que
podrían tener la capacidad de poner en riesgo la operación de la compañía y esa promesa fundamental de valor a
todas las partes. Es por esto que se torna indispensable poner en marcha una estrategia que permita la identificación
de impactos potenciales que pueden amenazar la continuidad del negocio y provee un marco de referencia para
establecer y desarrollar estrategias pro-activas, construir respuestas eficaces y eficientes con la flexibilidad y la
capacidad necesarias para salvaguardar los intereses de las diferentes partes interesadas, la gobernabilidad, la
reputación, la imagen y las actividades de creación de valor de una organización.

Objetivo
El objetivo del Plan de continuidad del negocio es definir de forma precisa cómo SUMISERVIS Ltda. gestionará los
incidentes o emergencias y cómo recuperará sus actividades en el menor tiempo posible, permitiendo entre otras
cosas:

 Aumentar la probabilidad de continuidad de las funciones críticas de la organización.

 Proporcionar un enfoque organizado y consolidado para dirigir actividades de respuesta y recuperación ante
cualquier incidente o interrupción de trabajo imprevista.
 Proporcionar una respuesta rápida y apropiada a cualquier incidente.
 Recuperar las funciones críticas de negocio de manera oportuna, aumentando la capacidad de la organización
para recuperarlas ante un incidente.
 Reducir el tiempo de recuperación, y como consecuencia las pérdidas económicas.
 Reducir el impacto tangible o intangible, en las áreas funcionales como consecuencia de una interrupción del
servicio de informática.

Alcance
Este plan se aplica a todas las actividades críticas de SUMISERVIS Ltda., entendiéndose estas como todas las
actividades que tienen que realizarse para entregar los productos y servicios esenciales que permiten a una
organización cumplir con sus objetivos más importantes y sensibles al tiempo. Para la organización, las actividades
críticas son las siguientes:

1. Reclutamiento y selección de personal requerido por nuestros clientes.

2. Contratación del personal y afiliación a la Seguridad Social cumpliendo todos los requerimientos
legales.
3. Generación y pago de la nómina del personal.
4. Generación y pago de la Autoliquidación de aportes.
Por otra parte, el plan contempla las sedes de Bogotá, Barranquilla, Cali y Bucaramanga. Los usuarios de este
documento son todos los miembros del personal, tanto internos como externos, que cumplan una función en la
continuidad del negocio.
Definiciones
Continuidad del negocio. Capacidad estratégica, táctica y operativa de la organización para planificar y
responder ante incidentes e interrupciones del negocio para continuar las operaciones de negocio en un
nivel aceptable predefinido.

Personal de la gestión de continuidad del negocio. Son las personas que tienen asignados roles y
responsabilidades en el Plan de Continuidad.

Respuesta al Incidente. Elemento del Plan de Continuidad relacionado con el desarrollo e implementación
de los planes y las disposiciones apropiados para la continuidad de las actividades esenciales así como de
la gestión del incidente.

Plan de continuidad del negocio (BCP). Conjunto documentado de procedimientos e información que se
desarrolla, compila y mantiene disponible para usar en un incidente a fin de permitir a una organización
continuar ejerciendo sus actividades críticas a un nivel predefinido aceptable.

Consecuencia. Resultado de un incidente el cual tendrá un impacto en los objetivos de una organización.

NOTA 1 Puede haber una gama de consecuencias de un incidente.

NOTA 2 Una consecuencia puede ser cierta o incierta y puede tener impacto positivo o negativo en los objetivos

Interrupción. Evento, ya sea previsto (por ejemplo, una huelga laboral o un huracán) imprevisto (por
ejemplo, un apagón eléctrico o un terremoto) que causa una desviación negativa no planificada con
respecto a la entrega esperada de productos o servicios de acuerdo con los objetivos de la organización.

Prueba. Actividad en la que se ensaya el plan (o los planes) de continuidad del negocio en parte o en su
totalidad para asegurar que el plan (o los planes) contienen la información apropiada y producen el resultado
deseado cuando se pone en efecto.

Ganancia. Consecuencia positiva.

Impacto. La consecuencia evaluada de un resultado particular.

Incidente. Situación que podría ser o llevar a una interrupción, pérdida, emergencia o crisis del negocio.

Activación. Acto de declarar que el plan de continuidad del negocio de una organización necesita ponerse
en ejecución para continuar la entrega de sus principales productos o servicios.

Probabilidad. Posibilidad de que algo ocurra, ya sea definido, medido o estimado objetiva o
subjetivamente, o en términos de descriptores generales (como raro, improbable, probable, casi cierto),
frecuencias o probabilidades matemáticas.
NOTA 1 La probabilidad puede expresarse cualitativa o cuantitativamente

Pérdida. Consecuencia negativa

Período tolerable máximo de interrupción. Duración después de la cual la viabilidad de una organización
estará irrevocablemente amenazada si no puede reasumirse la entrega de productos y servicios.

Proceso. Conjunto de actividades que están interrelacionadas o que interactúan, las cuales transforman
elementos de entrada en resultados.

NOTA 1 Los elementos de entrada de un proceso son generalmente resultados de otros procesos.
NOTA 2 Los procesos de una organización son generalmente planificados y puestos en práctica bajo condiciones controladas para
aportar valor.
NOTA 3 Un proceso en el cual la conformidad del producto resultante no pueda ser fácil o económicamente verificada, se denomina
habitualmente “proceso especial”.

Tiempo objetivo de recuperación. El tiempo establecido para reanudar la entrega de productos, servicios
o actividades después de ocurrir un incidente.

NOTA El tiempo objetivo de recuperación tiene que ser menor que el período tolerable máximo de interrupción.

Recursos. La totalidad de activos, personas, habilidades, información, tecnología (incluyendo planta y

equipo), premisas, y suministros e información (ya sea electrónica o no) que una organización debe tener
disponible para uso, cuando se necesite, para operar y cumplir con sus objetivos.

Riesgo. Efecto de la incertidumbre en el logro de los objetivos

NOTA 1 Efecto es la desviación de lo esperado negativo o positivo.

NOTA 2 Los objetivos pueden tener diferentes aspectos (como financieros, de salud y seguridad, y metas ambientales) y pueden
aplicarse en diferentes niveles (como estratégicos, organizacionales, de proyectos, productos y procesos)
NOTA 3 El riesgo a menudo se caracteriza por hacer referencia a eventos potenciales y sus consecuencias o una combinación
de estas.
NOTA 4 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluidos los
cambios en las circunstancias) y es asociada a la probabilidad de que ocurra.
NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia de la información relativa a, el entendimiento o el
conocimiento de un evento, su consecuencia, o su probabilidad.
Aspectos Organizativos y Recursos
Los recursos escenciales para la implementacion y puesta en marcha de la estrategia de la organización
para responder eficazmente a un incidente mediante la articulacion de el Plan de Continuidad de negocio,
se identifican y se encuentran disponibles; los recursos corresponden a personas, infraestructuras,
informacion, proveedores y aliados de negocio.

RECURSOS HUMANOS
El Plan de Continuidad del Negocio esta soportado por un equipos de trabajo de carácter Directivo, de
Coordinación, Control y de Apoyo, para que en el momento en que ocurre un incidente, active el Plan
correspondiente y lo gestione, recuperando las operaciones, asegurando las actividades críticas y llevado
a la normalidad la organización; la siguiente es la distribución del equipo de continuidad de negocio:

Comité de
Aseguramiento de la
Continuidad del Negocio

Grupo
Asesores
Externos

Coordinador del
Plan de
Continuidad

Equipo de Equipo de Equipo de

Equipo de
Servicios Aseguramiento Servicio al
Infraestructura
Tecnicos Operativo Cliente

Funciones y Responsabilidades

Comité de Aseguramiento de la Continuidad del Negocio:

1. Coordinar el desarrollo, implementación y mantenimiento del plan de continuidad.
2. Revisiones de documentos generados para la definición de las estrategias y tácticas de
continuidad de la compañía.
3. Evaluar los mecanismos de reacción y control determinados en el Plan de Continuidad, así como
realizar análisis a los resultados en función al análisis de riesgos del negocio.
4. Dirigir las revisiones periódicas y modificaciones que se deben de hacer al plan. Estas necesidades
de cambio nacen cuando la organización incorpora cambios en sus servicios, estructura, recursos,
métodos de trabajo.
 5. Definir los integrantes de los diferentes Equipos de la estructura que soporta el presente Plan.
6. Recomendar acerca de la adquisición o el mantenimiento de equipos, programas e instalaciones.
7. Organizar y disponer los recursos para el desarrollo del Plan de Continuidad.
8. Coordinar Estrategias de Mitigación o acciones preventivas a la materialización de los riesgos
9. En fase de incidente o emergencia, evaluar la situación y la información reportada por el Coordinador
del Plan de Continuidad, para decidir el derrotero de la organización en torno al evento, decisiones
que pueden ser la activación del respectivo Plan o estrategias alternas.
10. Gerenciar las actividades de recuperación de la operatividad realizadas por los diferentes equipos
de trabajo
11. Evaluar el estado de evolución del incidente y levantar el estado de emergencia una vez el Plan de
Continuidad lleve a la organización a la normalidad.

Coordinador del Plan de Continuidad

1. Identificar los riesgos que afectan la continuidad del negocio, evaluar los riegos, estableciendo su
probabilidad y el impacto de la ocurrencia de la amenaza.
2. Categorizar y priorizar las amenazas, según el nivel del riesgo.
3. Desarrollar en compañía de los diferentes procesos, el Plan de Continuidad que brinden el
contrapeso necesario para controlar las amenazas priorizadas.
4. Establecer los mecanismos de control para el Plan de Continuidad.
5. Integrar las retroalimentaciones recibidas del comité.
6. Dirigir y soportar los procesos de los planes para toda la organización.
7. Dirigir las pruebas iniciales y periódicas del plan.
8. Reasignar recursos o prioridades.
9. El Coordinador del Plan es el canal de comunicación entre los diferentes equipos y el Comité, a
través del cual se transmitirán las decisiones tomadas en torno a las acciones del Plan de
Continuidad, los niveles de ejecución del Plan y el estado de los Recursos.
10. Así mismo, debe encargarse de monitorear y asegurar el cumplimiento estricto del Plan y del
mantenimiento de los canales de comunicación entre los diferentes grupos de trabajo. Proveer los
recursos necesarios y notificar las decisiones a las personas delegadas.

Equipos de Apoyo

La participación de los equipo de trabajo es fundamental para la estructuración de los respectivos Planes,
posteriormente las pruebas y aplicación de estos en el momento en que se generen los incidentes y se
confirme la activación por parte del Comité, los diferentes equipos deben ser de base estable de
SUMISERVIS, integrado por el personal de sistemas, operaciones y administrativo, el rol que estos equipos
de trabajo tienen es el siguiente:

1. Conocer de los aspectos operativos, técnicos y comerciales de SUMISERVIS.

2. Apoyar en el desarrollo de los Planes.
3. Desarrollar planes de entrenamiento para el personal que integra los diferentes procesos de la
compañía.
4. Mantener operativo los diferentes planes e identificar las necesidades de actualización cuando se
incorporan cambios en sus servicios, estructura, recursos, métodos de trabajo.
5. Realizar las pruebas debidas a cada Plan en compañía del Coordinador
6. Desarrollar en compañía del Coordinador los planes de mitigación o acciones preventivas a la
materialización de los riesgos.
7. En fase de incidente o emergencia, y una vez se active por parte del Comité los diferentes Planes,
ejecutar estrictamente el Plan, asumiendo los roles en cada equipo.
8. Reportar al Coordinado los avances y novedades en la ejecución del Plan y la restauración de las
operaciones críticas.
9. Asegurar la correcta ejecución de las funciones y tareas críticas de la organización.
10. Llevar a la normalidad cada proceso de SUMISERVIS.
11. Retroalimentar continuamente el Plan de Continuidad.

Específicamente cada equipo tiene las siguientes profundizaciones:

Equipo de Servicios Técnicos

El Equipo de servicios técnicos gestiona interrupciones en los servicios técnicos, tales como la
infraestructura de tecnología, Hardware y Software; inicia arreglos de continuidad siguiendo estrictamente
los Planes, recuperando las plataformas necesarias para la ejecución de las operaciones criticas; e
interactúa con los proveedores de servicios de continuidad de negocio según sus necesidades.

Equipo de Infraestructura

Este equipo es responsable de gestionar las necesidades y recursos físicos que permitan desarrollar los
planes de mitigación de la compañía y en el momento de incidentes relacionados con interrupciones
relativas a la infraestructura del edificio central de SUMISERVIS en Bogotá, y las agencias de Cali,
Barranquilla y Bucaramanga. Adicionalmente este equipo que entre otros está integrado por Compras, debe
gestionar las requisiciones necesarias para el desarrollo de los planes de mitigación y de continuidad,
cumpliendo con los requerimientos del Sistema de Gestión de Calidad.

Equipo de Aseguramiento Operativo

El equipo de aseguramiento operativo es el encargado de implementar y controlar las actividades

contempladas en los planes de mitigación y en el escenario de incidentes ejecutar las funciones y tareas
críticas para la organización asegurando ante todo la continuidad de los servicios esenciales de
SUMISERVIS contemplados en el presente documento, siguiendo estrictamente el Plan de Continuidad
respectivos.
Equipo de Servicio al Cliente

El equipo de servicio al cliente mantiene a los Clientes informados si hay un impacto notable en los niveles
de servicio y apoya al equipo de Aseguramiento Operativo en la definición de las tareas y actividades críticas
de servicios que se deben cumplir.
Recursos
Para la operación normal de SUMISERVIS, la compañía cuenta con los siguientes recursos, aplicables
igualmente a situaciones imprevistas, incidentes o emergencias.

INVENTARIO DE EQUIPOS BOGOTA

MARCA TIPO MODELO PROCESADOR MEMORIA RAM CANTIDAD

INTEL CORE I3
DELL PORTATIL VOSTRO 3300 3 GB 12
2.4 GHZ

INTEL CORE 2
DELL PORTATIL LATITUDE D630 4 GB 1
DUO 2.6 GHZ

INTEL CORE 2
DELL PORTATIL VOSTRO 1320 4 GB 1
DUO 2.2 GHZ

INTEL CORE 2
DELL PORTATIL VOSTRO 1510 4 GB 3
DUO 1.8 GHZ

PAVILION
HP PORTATIL INTEL 1.87 GHZ 2 GB 1
DV2000

INTEL DUAL
DELL ESCRITORIO VOSTRO 230 4 GB 5
CORE 3.0 GHZ

INTEL CORE 2
HP ESCRITORIO 500B MT 4 GB 2
DUO 2.93 GHZ

INTEL CORE I5
HP ESCRITORIO 6200 PRO 4 GB 4
3.1 GHZ

INTEL CORE 2
DELL ESCRITORIO VOSTRO 220S 4 GB 4
DUO 2.93 GHZ

AMD ATHLON
DELL ESCRITORIO OPTIPLEX 740 DUAL CORE 2.61 4 GB 2
GHZ

PENTIUM IV 2.8
DELL ESCRITORIO DIMENSION 4600 2 GB 1
GHZ

PENTIUM IV 2.8
DELL ESCRITORIO DIMENSION 3000 1.5 GB 1
GHZ

PENTIUM IV 2.8
DELL ESCRITORIO OPTIPLEX 170L 1.5 GB 3
GHZ

OPTIPLEX GX PENTIUM IV 2.8

DELL ESCRITORIO 1.5 GB 2
280 GHZ

OPTIPLEX GX PENTIUM IV 2.8

DELL ESCRITORIO 1.5 GB 1
240 GHZ

IMPRESORAS BOGOTA
 MARCA MODELO CANTIDAD

HP LASERJET 1102W 1

DELL MULTIFUNCIONAL 1815DN 1

HP LASERJET P2035N 3

EPSON COLOR T25 1

RICOH MULTIFUNCIONAL AFICIO MP 171 1

HP LASERJET P2015N 1

HP LASERJET 1020 1

EPSON LX 300+ 3

EPSON FX 1170 3

RICOH FOTOCOPIADORA AF2020D 1

INVENTARIO DE EQUIPOS BUCARAMANGA

CALLE 51 # 35-28 INTERIOR 100 OFICINA 218 CENTRO COMERCIAL CABECERA III ETAPA

MARCA TIPO MODELO PROCESADOR MEMORIA RAM CANTIDAD

INTEL CORE I3 2.4

DELL PORTATIL VOSTRO 3300 3 GB 1
GHZ

HP INTEL CORE 2
ESCRITORIO 500B MT 4 GB 1
DUO 2.93 GHZ

INTEL DUAL
GENERICO ESCRITORIO N/A 2 GB 2
CORE 1.8 GHZ

IMPRESORAS BUCARAMANGA

MARCA MODELO CANTIDAD

EPSON FX 1170 1

KYOCERA FS 720 1

HP LASERJET CP1525 1

HP SCANJET 8250 1
 INVENTARIO BARRANQUILLA

CRA 53 No. 64-28 OF. 104 EDIFICIO CARIBE

MARCA TIPO MODELO PROCESADOR MEMORIA RAM CANTIDAD

INTEL CORE I3 2.4

DELL PORTATIL VOSTRO 3300 3 GB 1
GHZ

DELL
PENTIUM IV 2.8
ESCRITORIO OPTIPLEX 170L 1.5 GB 1
GHZ

IMPRESORAS BARRANQUILLA

MARCA MODELO CANTIDAD

HP LASERJET P1005 1

SCANER LEXMARK X2690 1

INVENTARIO CALI

Avenida 3 Norte No. 23AN-02 oficina 303

MARCA TIPO MODELO PROCESADOR MEMORIA RAM CANTIDAD

INTEL CORE 2
DELL PORTATIL VOSTRO 1510 4 GB 1
DUO 1.8 GHZ

PENTIUM IV 2.8
IBM ESCRITORIO THINKCENTRE 1.5 GB 1
GHZ

PENTIUM IV 2.8
COMPAQ ESCRITORIO EVO 1.5 GB 1
GHZ

IMPRESORAS CALI

MARCA MODELO CANTIDAD

HP LASERJET P1020 1

LEXMARK SCANER X2600 1

Metodología
Para soportar adecuadamente el proceso de gestión de los riesgos que entorno impone a SUMISERVIS,
que amenazan de diversas formas y niveles la continuidad del negocio, es necesario partir de forma objetiva
usando una metodología adecuada de gestión de riesgos que permita identificar, evaluar y priorizar las
amenazas potenciales existentes para la compañía, así como la mitigación o control de las posibles
consecuencias operativas, de servicios, legales entre otras.

La Metodología de Bussiness Contiunity Management es la siguiente:

Inicio del
Proyecto interno

Identificar
Mejoramiento
amenazas del
Continuo
negocio

Ciclo de
Planeación de
Continuidad del
Negocio
Prueba de los Analsis y
Planes de Evaluacion del
Contingencio Riesgo

Establecer el
Diseñar el Plan Plan de
de Continuidad Continuidad del
Negocio
Metodologia de Gestion de Risgo para la identificacion de amenazas del negocio y el analisis y la
evaluacion del riesgo

Identificación de Procesos Criticos en

SUMISERVIS Ltda.
El Plan de Continuidad se desarrollan bajo premisas de partida o supuestos que exponen escenarios de
incidentes o emergencias que tienen la potenzialidad de afectar la continuidad del negocio, en estos
escenarios se consideran procesos criticos aquellos que afectan directamente con la continuidad de la
compañía, estos se clasifican según su criticidad en ALTA, MEDIO o BAJO necesarios para los procesos
de prioridad alta, recomendables para los procesos de prioridad media, y sugeridos para los procesos de
prioridad baja.

Prioridad ALTA: Procesos vitales para la organización en la prestacion de los servicios de servicios
prioritarios.

Prioridad MEDIA: Procesos que intervinenen en la generacion de servicios de prioridad media o la

definición de lineamientos para la organización.

Prioridad BAJA: Procesos que intervienen en la realizacion de los servicios de SUMISERVIS bajo un
enfoque de apoyo para su realizacion.

PROCESO PRIORIDAD
Planeación Estrategica MEDIA
Mejora Continua BAJA
Comercializacion y Mercadeo MEDIA
Servicios Outsourcing (Reclutamiento y MEDIA
Selección)
Servicios Outsourcing (Relaciones ALTA
Laborales)
Servicios Outsourcing (Nomina y ALTA
Facturación)
Gestion de Recursos Humanos BAJA
Servicios Outsourcing Financiero ALTA
Servicios Administrativos BAJA
Los procesos de SUMISERVIS con una criticidad ALTA albergan actividades que juegan un papel
determinante en el aseguramiento de la prestacion del servicio, estas actividades se identifican como los
Factores Criticos de Éxito y son las actividades objeto de recuperacion en el Plan de Continuidad del
Negocio. Estas son las siguientes:

Proceso Factores Críticos de Éxito

Realizar las afiliaciones al fondo de pensiones, salud,
caja de compensación y ARL

Relaciones Laborales Apertura o capitación de número de cuenta bancaria

Diligenciar formato de reporte de ingreso a la nómina

Recepción de novedades de Empresas Usuarias

Nómina y Analizar, tramitar y ordenar la inclusión de las

novedades en la nómina
Facturación
Generar la pre nómina, realizar las correcciones y
generar la nómina definitiva
Generar archivos de dispersión a las entidades
financieras
Financiero
Realizar el pago de la nómina a los trabajadores
mediante transferencia
Nómina y Realizar la autoliquidación de aportes a seguridad
Facturación social
Generar archivos de dispersión a las entidades
financieras
Financiero
Realizar el pago de la autoliquidación de aportes a
seguridad social

Fuentes de Riesgo y Áreas de Impacto

La identificacion de fuentes de riesgo y áreas de impacto ofrece un marco para la identificación, y analisis
del riesgo. El desarrollo de una lista genérica, enfoca las actividades de identificación del riesgo y contribuye
a hacer mas efectiva la gestión, debido a la gran cantidad posible de fuentes e impactos.

Las fuente de riesgo y areas de impacto se seleccionan de acuerdo con su pertinencia en las actividades
de la compañía, especificamente sobre las actividades contenidas en los procesos determinados con
citicidad ALTA.
En SUMISERVIS Ltda. las fuentes de riesgo por area de impacto son las siguientes:

Área de Afectación
Fuente de Riesgo Relaciones Nómina y
Financiero
Laborales Facturación

Información de trabajadores errada X X X

Problemas con la cuenta bancaria

X X
del trabajador
Ausencia de Novedades de Nomina
o confirmaciones por parte del X
Cliente

Daños en Hardware o Software X X X

Fallas de Energía Prolongadas X X X

Fallo de Servicio de Internet Banda

X X X
Ancha

Problemas de Seguridad X X X

Daños en Plataforma Bancaria X

Análisis del Riesgo

Los objetivos del analisis consisten en separar los riesgos aceptables menores de los mayores y
proporcionar datos que sirvan para la posterior evaluacion y tratamiento de los riesgos. El analisis del riesgo
incluye considerar las consecuencias y la probabilidad de que estos ocurran.

El riesgo se analiza mediante la combinacion de estimaciones de consecuencia y posibilidad en el contexto

de las medidas de control existentes, para lo cual se establece las siguientes medidas cualitativas de
concecuencia y posibilidad:
Medidas Cualitativas de Consecuencia

NIVEL DESCRIPCION DESCRIPCION DETALLADA

1 Insignificante No afecta la prestación ni calidad del servicio, perdidas
menores de tiempo de operación, pérdidas financieras
pequeñas
2 Menor No afecta la prestación ni calidad del servicio, perdidas
moderadas de tiempo de operación, pérdidas
financieras moderadas
3 Moderada Afecta la prestación del servicio, paradas prolongadas
de operación menores a dos días, perdida financiera
importante
4 Mayor Afecta la prestación del servicio, probable perdidas de
Clientes, paradas de más de 2 días de operación y
menores a 5 días, perdida financiera alta
5 Catastrófica Perdidas de Clientes, paradas de más de 5 días de
operación, enorme pérdida financiera

Medidas cualitativas de las posibilidades

NIVEL DESCRIPCION DESCRIPCION DETALLADA

A Casi cierto Se espera que ocurra en la mayoría de las
circunstancias
B Probable Puede probablemente ocurrir en la mayoría de las
circunstancias
C Posible Es posible que ocurre en algunas veces
D Improbable Podría ocurrir en algunas veces
E Raro Puede ocurrir solamente en circunstancias
excepcionales
Evaluación del Riesgo

La evaluación del Riesgo involucra la comparación del nivel del riesgo encontrado durante el proceso de
análisis contra los criterios de riesgo previamente establecidos.

El resultado de la evaluación de Riesgos que inciden sobre la continuidad del negocio en SUMISERVIS, es
una lista priorizada de riesgos, sobre los cuales se toman las medidas de mitigación y se establecen el Plan
de Continuidad.

Matriz de Evaluación Cualitativa de los Riesgos

CONSECUENCIAS
PROBABILIDAD Insignificante Menor Moderada Mayor Catastrofica
1 2 3 4 5

A (Casi cierto)

* Información de
trabajadores en misión
errada
B (Probable)
* Problemas con la
cuenta bancaria del
trabajador en misión

* Ausencia de
Novedades de Nomina
o confirmaciones por
* Fallas de Energía
C (Posible) parte del Cliente
Prolongadas
* Fallo de Servicio de
Internet Banda Ancha

* Daños en Hardware o
Software
* Problemas de
D (Improbable)
Seguridad
* Daños en Plataforma
Bancaria

E (Raro)
Priorización
Resultado Nivel de Riesgo Fuentes de Riesgo
* Problemas de Seguridad
Riesgo Extremo
* Fallas de Energía
Prolongadas
* Daños en Hardware o
Software
Alto Riesgo
* Daños en Plataforma
Bancaria
* Información de
trabajadores errada

* Problemas con la cuenta

bancaria del trabajador
Riesgo Moderado
* Ausencia de Novedades de
Nomina o confirmaciones
por parte del Cliente

* Fallo de Servicio de
Internet Banda Ancha
Riesgo Inferior

Tratamiento de los Riesgos

Tratamiento de los riesgos identificados y evaluados, se realiza mediante la puesta en marcha de acciones
preventivas que buscan reducir el riesgo calculado y el impacto de este sobre las operaciones criticas de
SUMISERVIS que afectan directamente la prestación del servicio.

Los tratamientos definidos se subdividen en acciones preventivas de mitigación, y el Plan de Continuidad,

encaminados a garantizar la operación de los Procesos definidos como CRITICOS y sus respectivos
FACTORES CRITICOS DE ÉXITO.
 Proceso Factores Críticos de Éxito
Realizar las afiliaciones al fondo de pensiones, salud,
caja de compensación y ARL

Relaciones Laborales Apertura o capitación de número de cuenta bancaria

Diligenciar formato de reporte de ingreso a la nómina

Recepción de novedades de Empresas Usuarias

Nómina y Analizar, tramitar y ordenar la inclusión de las

novedades en la nómina
Facturación
Generar la pre nómina, realizar las correcciones y
generar la nómina definitiva
Generar archivos de dispersión a las entidades
financieras
Financiero
Realizar el pago de la nómina a los trabajadores
mediante transferencia
Nómina y Realizar la autoliquidación de aportes a seguridad
Facturación social
Generar archivos de dispersión a las entidades
financieras
Financiero
Realizar el pago de la autoliquidación de aportes a
seguridad social

Acciones Preventivas de Mitigación

Estas acciones
son el conjunto de tácticas y procedimientos previos a la posible materialización del riesgo, tendientes a la
mitigación de los mismos, haciéndolos menos graves, reduciendo al máximo las consecuencias o posibles
pérdidas, los cuales se presentan a continuación:

Proceso de Respaldo

El procedimiento de respaldo establecido, a través del cual SUMISERVIS asegura la conservación de su

información vital y determina donde realizar sus operaciones críticas en caso de que se materialicen
los siguientes factores:

1. Fallas de Energía Prolongadas

2. Problemas de Seguridad
3. Daños en Hardware o Software
El proceso de respaldo incluye los siguientes componentes:

a) Los datos (trabajadores activos y retirados, y sus acumulados de nómina)

b) Los programas (Software SISTEMA UNO)
c) La documentación del Sistema de Gestión de Calidad
d) Los equipos (Hardware que brinde soporte para la operación de respaldo)

Proceso de Respaldo Externo

El proceso de respaldo externo, básicamente es la instalación u oficina diferente a la sede principal de

SUMISERVIS Ltda. Ubicada en Bogotá D.C. en la Calle 37 N° 17-21; para cuando se materialice un riesgo
que inhabilite la sede principal, entre esta sede alterna, en la que se reiniciaran las operaciones que dan
soporte a los servicios de la compañía.

La sede de respaldo para las operaciones de SUMISERVIS, es la sede ubicada en la ciudad de

Bucaramanga en la CALLE 51 # 35-28 INTERIOR 100 OFICINA 218 CENTRO COMERCIAL CABECERA
III ETAPA , oficina seleccionada por su infraestructura y número de trabajadores que permiten soportar
adecuadamente las operaciones críticas.

Plan de BackUps

Un backup es una copia de seguridad de la información en un segundo y/o tercer medio, que garantice
recuperar la información contenida en el Hardware de la compañía en caso de que se presente un incidente
que inhabilite la infraestructura tecnológica de la sede de operaciones principal.

El Coordinador de Sistemas debe asegurarse de realiza el respaldo de los datos y sistemas esenciales del
negocio. El usuario es responsable de asegurar que la información local que maneja esté adecuadamente
respaldada y que sea de fácil recuperación.
Tipos de Respaldos Realizado

Backup Diarios

Los backup diarios incluyen todos los datos de los sistemas críticos del negocio y se realiza diariamente de
domingo a domingo. Este backup ha sido previamente programado por el Coordinador de Sistemas, para
que se realice de forma automática a partir de las 08:30 pm los datos de las aplicaciones Sistema UNO y
Sapiens. El medio físico para la toma de este backup es el espacio en el hosting. El cual se encuentra
ubicado en Canadá. El Coordinador de Sistemas es responsable por mantener en óptimas condiciones la
conexión a internet para que el backup se ejecute vía FTP. Siempre se contara con el backup de los últimos
7 días.

También se hace un Backup en disco duro USB con la misma información de lunes a sábado. Que contiene
además de la anterior información toda la información de la carpeta usuarios.

Backup Semanales

En el backup semanal del servidor se respaldan todo el volumen E:\ del servidor WINDOWS 2003 SERVER.
Así como el diario, este ha sido programado previamente por el coordinador de Sistemas, para que se
realice de forma automática los sábados a partir de la 06:00 p.m. El Coordinador de Sistemas es
responsable por mantener en óptimas condiciones las unidades físicas de respaldo, así como verificación
de su correcta ejecución mediante la revisión del Log del sistema. Este backup se hace en un disco duro
USB.

Backup Solicitados Por Usuario

Los backup de usuarios son realizados cuando el usuario así lo solicite dependiendo de los procesos de
cierre que manejan algunas aplicaciones como la nómina que se procesa dos veces por periodo o con base
en un calendario pre-establecido de cierres mensuales como en el sistema financiero

Backup De Datos De Los PCs De Usuarios

Cada usuario es responsable de realizar el backup de los archivos que estén en su equipo y no los tenga
un su carpeta de red en G: Mediante la copia de estos archivos a la carpeta asignada para tal fin
X:\piso\usuario.

Rotación De Los Medios De Archivo De Respaldos

La rotación de los medios está basada en lo crítico de los datos que contengan.

Los Backup Diarios tiene una rotación de una semana.

Los Backup Semanales tienen una rotación de Abuelo, Padre, Hijo

Los Backup Solicitados por el usuario (Nomina, cierre Fiscal) son de carácter permanentes.
Almacenaje de Los Medios Magnéticos

Los Discos Duros USB de los backup semanales y Diarios están en el centro de cómputo.

Los backup diarios vía ftp permanecen en nuestro Hosting.

Soporte Técnico

Para la atención de los requerimientos de soporte técnico el usuario puede utilizar dos opciones para
solicitar solución sobre los inconvenientes que tengan en los equipos de cómputo.

El usuario puede enviar su solicitud como una tarea a través del proyecto mensual creado en la intranet
para tal fin.

Si no se es posible enviar la solicitud por que el equipo no funciona correctamente se hace por medio de
teléfono o por medio de otro usuario de la misma área. Si es por teléfono luego de que funcione se debe
hacer la solicitud para dejar todo legalizado.

En el formato de Hoja de vida del computador estará el historial de mantenimientos y cambios de software
y/o hardware.

Si el problema se presenta sobre partes físicas de los equipos que se encuentran en garantía se realiza la
respectiva gestión con los proveedores respectivos para aplicar la garantía.

Mantenimiento correctivo y preventivo

Dos veces al año se realizara mantenimiento preventivo de computadores y periféricos.

Desarrollo de Competencias (Capacitación y Formación)

Desde el proceso de Gestión Humana, se desarrollan programas de entrenamiento y capacitación al

personal en los procesos de la compañía.

Mediante el Plan de entrenamiento de la compañía, los trabajadores son capacitados en los procesos de la
compañía y de sus áreas respectivas, usando los documentos (manuales, procedimientos e instructivos)
del Sistema de Gestión de Calidad de la compañía y registros. Adicionalmente en asocio con el proceso de
Sistemas Integrados, se realiza periódicamente la socialización del presente Plan de Continuidad de
Negocio y entrenamiento en los diferentes escenarios que contemplan los planes de acción, que
posteriormente son evaluados mediante simulacros programados una vez por semestre.
Escenario en Fase de Emergencia

A continuación se presentan las acciones detalladas que deben ser llevadas a cabo durante y después de
los incidentes o emergencias, para RECUPERAR en el menor tiempo las operaciones de la compañía que
aseguren la prestación de los servicios manteniendo los niveles de calidad, adicionalmente se presentan
una serie de instrucciones a los procesos operativos y administrativos, en caso de materializarse el riesgo.

Las acciones en fase de Emergencia se consolidan en el Plan de Continuidad, que a su vez contiene los
siguientes Planes de Acción según la contingencia:

1. Plan de Acción en Problemas de Seguridad

2. Plan de Acción en Fallas de Energía Prolongada
3. Plan de Acción en Daños en Hardware o Software
4. Plan de Acción en Daños de Plataforma Bancaria

Es indispensable que la información del Cliente para el proceso de nóminas se gestione dentro del
cronograma pactado para poder responder oportunamente a un incidente o emergencia

Declaración de Inicio de Contingencia

En el momento de materializarse el riesgo, el Comité de Aseguramiento de Continuidad del Negocio debe

evaluar la extensión del incidente, evaluando las fallas en compañía con los dueños de proceso donde se
determina si la situación es susceptible de prolongarse más allá del plazo establecido dependiendo del
evento ocurrido y adicionalmente si el evento afecta considerablemente la operación de en los procesos de
prestación de servicios poniendo en riesgo la promesa de valor de la compañía con sus Clientes.

Con estos juicios de valor analizados se toma la decisión de proceder a declarar la existencia de un
escenario de contingencia, para lo cual se realizara comunicación al Coordinador del plan de continuidad
para activar los diferentes planes de acción.

Todos los esfuerzos deben conducir a desarrollar las acciones que permitan restaurar los servicios de
SUMISERVIS en el menor tiempo posible. Indistinto de la emergencia se deben realizar las siguientes
acciones:
 CONTINGENCIA

Declaración de
Inicio de
Contingencia

Comunicación a
Equipos de Apoyo

Determinar si las operaciones de

Salvar todo lo que procesamiento de datos pueden
pueda salvarse continuar, aun cuando sea en
(información vital del forma degradada, o si deben
negocio) reinstalarse en otro Equipo o en
la sede de respaldo externo en
Bucaramanga
Establecer los daños de las
instalaciones, los equipos, la
información y estimar el tiempo
necesario para su disponibilidad

Asegurar que toda la información

de recuperación almacenada fuera
del Centro de Cómputo esté a
salvo y pueda ser obtenida
fácilmente por las personas
autorizadas
Comité de
Aseguramiento de la
Continuidad del Asegurar que el sistema
operacional de cada uno de los
equipos funcionará en el sitio
Coordinador del Plan alterno de procesamiento
de Continuidad

Equipo de Apoyo Iniciar Plan de

Técnico Acción específico

Equipos de Apoyo
Operativo
fin
Planes de Acción
Plan de Acción en Problemas de Seguridad
Los Riesgos englobados en Problemas de Seguridad son los siguientes:

a) Humanos: Disturbios, ataques, sabotajes, vandalismo, robo, uso ilegal de la información y errores.
b) Riesgos Naturales: Condiciones Climáticas, terremotos, incendios forestales, inundaciones, plagas
y actividad volcánica
c) Daños en propiedad: Incendios, inundaciones, contaminación

Los efectos de la materialización de riesgos de problemas de seguridad hacen presumir que la cede

principal de SUMISERVIS Ltda. estará inhabilitada. VER ANEXO A

Plan de Acción en Fallas de Energía Prolongada

Las fallas de Energía Prolongadas, pueden derivarse de múltiples razones, y son potencialmente de
ALTO riesgo para la continuidad del negocio en función del tiempo en que esté ausente el servicio de

energía eléctrica en la sede central, VER ANEXO B

Plan de Acción en Daños en Hardware o Software

Los Daños o Fallas en Hardware y Software, consisten en el mal funcionamiento de los aplicativos críticos,
principalmente SISTEMA UNO 8.5 o los equipos donde se encuentran instalados, actualizaciones de
software que generan inconsistencias e incompatibilidades con los recursos disponibles, caída del servidor,

entre otros. VER ANEXO C

Plan de Acción en Daños en Plataforma Bancaria

Los daños en plataforma bancaria, inciden críticamente en la prestación del servicio porque impiden las
transferencias electrónicas a trabajadores imposibilitando el pago de la nómina y el pago de diferentes

responsabilidades a terceros, entre estos el pago de la Autoliquidación de aportes a seguridad social. VER

ANEXO D
ANEXO A

Plan de Acción en Problemas de Seguridad

CONTINGENCIA

Declaración de
Inicio de
Contingencia por
problemas de
seguridad

Comunicación a Equipos de Apoyo

de Servicios Técnicos,
Aseguramiento Operativo Bogotá y
Regional Bucaramanga y Equipo de
Servicio al Cliente

El Equipo de Servicios
Técnicos lidera desde Ingresar a programa
Bogotá la restauración del Cliente FTP para Descargar Archivos
Restaurar Backup de programa
Software y los datos vitales acceder a la nube (Programa Sistema UNO
Sistema UNO 8.5 y datos
para la reanudación de la (espacio del 8.5 y Datos)
operación hosting)

Procedimiento de
Iniciar operación de actividades Nomina NF-P-01
de Pre nomina y nomina y/o Procedimiento de
Instructivo de Autoliquidación de Aportes a Autoliquidación y
Recuperación Software y Seguridad Social aportes NF-P-02
Datos SA-I-03

Identificación de tareas Aprobación de Nomina y/o

criticas (ver cuadro de Autoliquidación de Aportes
tareas criticas) en Priorización de a Seguridad Social
ejecución, y pendientes tareas criticas
a 1,2 y 3 días con los
Clientes

Generar Archivos de Dispersión a

entidades Financieras

Comité de
Aseguramiento de la Aprobación del Pago de
Continuidad del Nomina y/o Pago de
Autoliquidación de Aportes
a Seguridad Social
Coordinador del Plan Comunicaciones
de Continuidad oficiales a Cientes
Realizar Pagos de Nomina
a trabajadores y/o
Equipo de Apoyo Autoliquidación mediante
transferencia Electrónica
Técnico

Equipos de Apoyo Declaración de

Termino de la
Operativo contingencia

Equipos de Apoyo
Operativo Regional Iniciar Fase de
Bumaramanga Recuperación y
Normalización de
operaciones
Equipo de Servicio al
Cliente fin
ANEXO B

Plan de Acción en Fallas de Energía Prolongadas

CONTINGENCIA

Declaración de
El tiempo de ausencia del Inicio de
Soporte de Contingencia por
Servicio Eléctrico es superior a
operación con UPS Fallas de Energía
15 minutos?
Prolongadas

Comunicación a Equipos de Apoyo

de Servicios Técnicos, Equipo de
Infraestructura y Aseguramiento
Operativo

Instructivo de
Identificar la razón
Ahorro de Energía
del corte de energía
SA-I-04
eléctrica

La Razón del Corte SI ¿La Falla Energética se presenta en Días de SI

de Energía es interno Activar Plan de Arrorró de Energía ejecución de procesos de Nomina, Pagos de Suspensión de estaciones de trabajo
del Edificio? Nomina, Autoliquidación o Pagos de de los Procesos NO CRITICOS
Autoliquidación?

¿La falla de Energía se

Contactar a Prolonga por mas de 30
CODENSA para Contactar a proveedor minutos?
reactivar servicio de de mantenimiento
Energía Eléctrica correctivo eléctrico y de
redes

Apagar Todos los equipos de

1 escritorio de Procesos CRITICOS
excepto Nómina y Tesorería
Realizar Correcciones para
reanudar Servicio Eléctrico
en el Edificio
¿La falla de Energía se
Prolonga por mas de 1
hora?

Se reactiva el servicio de Apagar equipos de escritorio y

energía Eléctrica SI Inventario de
soportar actividad de nomina y
Normalizado? tesorería con los equipos Recursos Hardware
portátiles de la compañia

NO

Contactar a Proveedor de
Comité de Plantas Electricas
Aseguramiento de la
Continuidad del
Conectar Planta
Eléctrica a Red del
Coordinador del Plan Edificio
de Continuidad Declaración de
Termino de la
contingencia
Equipo de Apoyo
Técnico
Iniciar Fase de
Recuperación y
Equipos de Apoyo Normalización de
operaciones
Operativo

fin
Equipo de Apoyo
Infraestructura

Equipo de Servicio al
Cliente

Proveedor Aprobado
por Compras
ANEXO C

Plan de Acción en Daños en Hardware y Software

CONTINGENCIA

Declaración de
Diagnostico de Falla El daño se puede considerar Inicio de
de Hardware o
NO Contingencia por
menor y se resuelve en menos
Software de 3 horas? Fallas en Hardware
o Software

SI
Realizar acciones correctivas en Comunicación a Equipos de Apoyo
Hardware y Software y analizar de Servicios Técnicos, Equipo de
las causas para emitir acciones Infraestructura y Aseguramiento
de mejora Operativo

SI El daño es en
Hardware?

NO
Remplazar unidad NO
¿El daño o falla es
con equipo de
en el servidor?
respaldo
Realizar reparaciones con proveedor
aprobado por el proceso de compras (para el
SI 1
caso de fallas de SISTEMA UNO 8.5 contactar
proveedor SISTEMA UNO servicio técnico
NO
Enviar requisición a ¿El servidor se Instructivo de
proceso de Compras puede reparar? Recuperación Software y
Datos SA-I-03
SI

Realizar reparaciones con

Instalar nuevo proveedor aprobado por el
Servidor proceso de Compras Ingresar a programa
Cliente FTP para Descargar Archivos
acceder a la nube (Programa Sistema UNO
1 (espacio del 8.5 y Datos)
hosting)
1

Instructivo de Activar apoyo temporal Restaurar Backup de programa

Activación de Sistema UNO 8.5 y datos
WorkStation SA-I-05

El Disco Duro del Procedimiento de

Servidor funciona? Iniciar operación de Procesos y Nomina NF-P-01
NO Actividades Criticas (Nomina, Procedimiento de
Comité de Autoliquidación de aportes a Autoliquidación y
Aseguramiento de la SI seguridad social y pagos a aportes NF-P-02
trabajadores y autoliquidación.
Continuidad del
Instalar Disco Duro
en WorkStation
Coordinador del Plan
de Continuidad Reactivar Operación en el resto
de procesos de la compañia
Equipo de Apoyo Declaración de
Termino de la 1
Técnico contingencia
Iniciar Fase de
Recuperación y
Equipos de Apoyo Normalización de
Operativo operaciones

Equipo de Apoyo fin

Infraestructura

Equipo de Servicio al
Cliente

Proveedor Aprobado
por Compras
ANEXO D

Plan de Acción en Daños en Plataformas Bancarias

CONTINGENCIA

NO Intentar pagos por

Diagnostico de Falla plataformas de
El daño se debe a fallas de
de Plataforma respaldo de
internet
bancaria entidades Bancarias

SI NO
La Falla en Plataforma
Usar módems portátiles para Bancaria Persiste?
acceder a Internet
SI

2
Declaración de
Inicio de
1 Contingencia por
Comunicación Fallas en Hardware
periódica a Banco o Software
para consultar
normalización de la
Plataforma
Comunicación a Equipos de Apoyo
de Servicios Técnicos, Equipo de
Infraestructura y Aseguramiento
Operativo
NO
La plataforma se
reactiva?
Instructivo de Plan
de Pagos Bancarios Activar Plan de
SI FI-I-02 Pagos Bancarios

Declaración de
Termino de la Copiar Datos de
contingencia Dispersiones para
Pago de Nominas y/
o Autoliquidaciones
Iniciar Fase de en Memoria USB
Recuperación y
Normalización de
operaciones
Ir a Oficina Bancaria respectiva con la
1 Memoria USB y realizar pagos de
forma presencial en el Banco
2 fin
FASE DE RECUPERACIÓN

Declaración de Término de la Contingencia

Terminada la emergencia, se hace necesario regresar al estado normal de operaciones. Para ello se debe
diseñar un conjunto de procedimientos para restablecer los funcionamientos normales tan rápidamente
como sea posible. Es un complejo y laborioso programa intensivo que normalmente requiere de recursos
especializados durante la fase de restablecimiento. Habiendo identificado las alternativas temporales, el
proceso de continuidad de operaciones sirve para restablecer los funcionamientos permanentes. Las
actividades iniciales reproducen aquellas de las actividades del plan de continuidad.

Para "sobrevivir", la organización debe asegurar que áreas críticas pueden reasumir los funcionamientos
normales dentro de un horario razonable. Por consiguiente, las metas posteriores al desastre deben
resumirse a:

 Minimizar la duración de una ruptura seria de los funcionamientos de SUMISERVIS

 Facilitar la coordinación eficaz de tareas de recuperación.
 Reducir la complejidad del esfuerzo de recuperación.

Transición a la Normalidad
El PLAN DE CONTINGENCIA contempla dos opciones durante el proceso de Reinstalación y
Normalización:

1. Si la instalación original es recuperable, es posible ejecutar los procedimientos de reinstalación y

normalización una vez terminada las actividades de limpieza y reparación.

2. Si las instalaciones están inhabitables o es muy costosa y demorada su reconstrucción, se debe

continuar con la operación en la sede alterna BUCARAMANGA y establecer un Plan a mediano plazo
para reactivar una sede en BOGOTA

En cualquiera de las opciones anteriores es necesaria la exhaustiva labor de salvamento de los equipos,
equipos complementarios, documentación y archivos en medios magnéticos, suministros, accesorios y
cualquier activo o patrimonio de la Empresa.
Si las acciones de Salvamento son viables (puede ingresar a las instalaciones sin riesgo a la integridad de
las personas) y económicamente deseable, estas operaciones deben desarrollarse lo más rápidamente
posible. Si no son viables se deben encaminar a la identificación de instalaciones comparables y prepararlas
para su inmediata ocupación.

Salvamento de Documentos

Los documentos y registros impresos, dañados por el humo y el agua, requieren una acción inmediata. Se
deben limpiar de escombros, organizarlos, empacarlos y transportarlos a lugares secos y fríos para evitar
la acción del moho y de los hongos.

Procesos de secado y enfriamiento al vacío contribuyen a su recuperación. Reinstalación

Las actividades y acciones ejecutadas por los Equipos Humanos durante la fase de Recuperación de la
capacidad de procesamiento, comunicaciones y operaciones de los usuarios se pueden repetir y ajustar
durante el proceso de Reinstalación en otro sitio.

Normalización
La transición hacia la prestación normal de los servicios constituye la fase final y el conjunto de procesos
sigue, en general, el esquema de implantación de un nuevo Sistema Informático y de Infraestructura.
Bibliografía

1. Norma Técnica Colombiana NTC 5722 Gestión de la Continuidad del Negocio

2. ISO 22301 Gestión de la Continuidad del Negocio
3. Norma Técnica Colombiana NTC 5254 Gestión de Riesgos
4. Gaspar M. Juan. Planes de Contingencia. Editorial Díaz de Santos

Revisado por:
Comité de Calidad