TALLER N° 8

REVISIÓN DOCUMENTAL

OBJETIVO

 Mejorar las habilidades para detectar falencias en los requisitos referentes a la

documentación de un SGCN.

METODOLOGIA

 Revisar la documentación entregada y determinar:

 Detectar falta de documentos requeridos por ISO22301:2012
 Detectar fallas en los documentos entregados
 Trabajo en grupo, con sustentación de las determinaciones.
 Deben presentar sus conclusiones en la hoja de trabajo al Tutor.

TIEMPO

 Tiene un tiempo máximo de 50 minutos para el desarrollo del taller.

 Se destina tiempo para revisión.

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde

¡LOS HECHOS, SOLO LOS HECHOS!

C – AI-SGCN Área de Formación

Versión Agosto 2012 1
 TALLER N° 8

HOJA DE TRABAJO

INTEGRANTES:

ANALISIS DE LA DOCUMENTACIÓN SGCN

SI CUMPLE O NO CUMPLE. EL EQUIPO DE TRABAJO DEBE ENTREGAR LOS
HALLAZGOS DE CUMPLIMIENTO O INCUMPLIMIENTO. (Incluir clausula)
*

C – AI-SGCN Área de Formación

Versión Agosto 2012 2
 TALLER N° 8

SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO

1 GENERALIDADES

1.0 ALCANCE DEL SISTEMA DE CONTINUIDAD DEL NEGOCIO

La Organización FactElectronics Services Inc., define que aplica el SGCN para sus actividades
que incluye: Proveedor de servicios de tecnologías de la información específicamente para
transacciones electrónicas de facturación, gestión de la documentación física de facturas. Estos
servicios son prestados en las ciudades de Bogotá y Medellín.

ANTECEDENTES E INTRODUCCIÓN DE LA ORGANIZACIÓN

…

ALCANCE DE LA DOCUMENTACIÓN
Esta documentación aplica a las actividades detalladas en el alcance del sistema de gestión para
las actividades operativas y necesarias como son:

 Desarrollo de aplicativos para B2B

 Hosting para publicación de facturación electrónica
 Almacenamiento de facturación física

Localizado en las ciudades de Bogotá, Cali, Medellín y Barranquilla.

DEFINICIONES:
Contingencia: Suceso no deseado que afecta la continuidad normal de las operaciones.
Plan de contingencia: plan de medidas preventivas a adoptar con el fin de atenuar o anular las
contingencias.
Gestión de la continuidad del negocio: plan de medidas a adoptar para los procesos críticos
cuando la contingencia supera las medidas adoptadas.
Procesos críticos: actividades claves e impredecibles para el negocio de la organización.

2.0 PLANEANDO EL SGCN

Requisitos Generales: La organización ha documentado, implementado y mantenido el SGCN que

cumple con los requisitos de la norma ISO22301, los legales, reglamentarios y contractuales.

Se ha definido las políticas generales y específicas de SGCN según SGCN-POL1 V02

Objetivos del SGCN:

Contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los negocios
antes los efectos de fallas significativas o desastres.

Requisitos de documentación
El SGCN descrito en este manual intenta proporcionar directrices básicas que deben seguirse para
alcanzar de forma efectiva el cumplimiento de los requisitos contenidos en la norma ISO22301,
para cumplir con la política y objetivos del SGCN.

Control de documentos. Todos los documentos de este manual se controlan y su control se realiza
mediante el listado maestro de control de documentos, se incluye en este listado todos los
documentos internos del SGCN.

C – AI-SGCN Área de Formación

Versión Agosto 2012 3
 TALLER N° 8

El responsable del mantenimiento de documentación requerida en el sistema, es el representante

del Sistema de Gestión de Continuidad del Negocio y reporta directamente al Vicepresidente de la
organización.

Descripción e interacción de procesos que incluye el cumplimiento del PHVA o PDCA, se detalla en
la definición de procesos que aplica el SGCN de acuerdo con el alcance y se ha documentado
según SGCN-MP1 V01.

4.0 PROGRAMA DEL SGCN

RESPONSABILIDAD DE LA DIRECCIÓN
Se ha definido las responsabilidades según organigrama Ver SGCN-ORG-00 V1.

Solo se ha definido las siguientes responsabilidades:

Compromiso de la dirección: Comunicando a todo el personal la necesidad de cumplir con los
requisitos de los clientes, legales y reglamentarios. En la importancia de cumplir con los objetivos y
política, sus responsabilidades con el cumplimiento legal y la necesidad de mejora continúan.
Llevar a cabo reuniones de revisión de la gestión para asegurar la conveniencia y la efectividad de
nuestro SGCN. Animar para implantar una cultura de mejora continua en todos los aspectos del
negocio de la compañía y monitorear y medir continuamente los niveles aceptables de riesgo en la
organización y según el BIA.
Responsabilidad y autoridad, el equipo de dirección debe asegurar que las responsabilidades y
autoridades estén definidas y sean comunicadas a la organización para asegurar la efectiva
implementación y el mantenimiento de nuestro SGCN.
Las competencias del personal son definidas según el manual de recursos humanos que incluye
definición específica de educación, formación, calificación y habilidades
Gestión de recursos se asegura que los planes, procedimientos, políticas brinden apoyo a los
requisitos del negocio de continuidad del negocio.
Formación, conocimiento y competencia, estos requisitos son gestionados en el proceso de talento
humano.
Representante de la dirección: nombrado por la alta dirección según acta No. SGCN_001. El
SGCN esta soportado documentalmente en el plan de continuidad del negocio general, procesos,
política, objetivos, BIA, procedimientos, organigrama, formularios y registros.

5.0 OPERANDO EL SGCN

Se determinan las siguientes actividades:

Plan de contingencias:
- Definición de procesos críticos
- Definición de recursos relacionados con los procesos críticos
- Planteo de escenarios y amenazas
- Diseño de alternativas. Cuantificación y evaluación
Definición de las acciones y armando el plan de continuidad Soluciones:
- Procesamiento centro alterno
- Implementación de DB distribuidas
- Definición de procesamientos para captura manual de información
- Creación de procesamiento de actualización diferida de las DB centrales
- Definición de políticas de resguardo en lugares remotos
Mantener reuniones usuarios presentes
Percepción, sobre los recursos necesarios relacionados con los procesos críticos
- Prioridades de aplicativos vigentes, DBA, SO
- Prioridades alternativas posibles
- Elaboración de síntesis preliminar sobre procesos críticos
Planteo preliminar escenarios y amenazas:
- Análisis de posibles contingencias

C – AI-SGCN Área de Formación

Versión Agosto 2012 4
 TALLER N° 8

- Identificación, probabilidad, efectos

- Análisis de riesgos
- Análisis de posibles soluciones en función al tiempo estimado de duración de contingencia
Revisión y búsqueda de acuerdo con los usuarios de las soluciones planteadas a los
procesos críticos.
- Presentación soluciones
- Discusión y determinación de alternativas, aprobación Acuerdo
Elaboración del plan de contingencias
- Construcción e implementación del plan de contingencias
- Elaboración de convenios
- Contratación de seguros
- Definición de responsabilidades
- Redacción de normas e instructivos
- Difusión y publicación
Mantenimiento del plan de continuidad
- Pruebas periódicas
- Simulacros
- Actualización permanente de la documentación del plan de continuidad
- Mantener reuniones permanentes con los dueños de los procesos
- Percepción por parte de las partes interesadas

Estructura General Plan de continuidad del negocio

Gestión de atención a emergencias informáticas SGCN-EM01 Ver 01
Metodología de gestión de riesgos SGCN-RIE-02 Ver 01

Plan de respuesta a incidentes: Describe qué se debe hacer inmediatamente después que se
presenta un desastre. Se deben disminuir los efectos del incidente, comunicar a los servicios de
emergencia, evaluación del edificio, reunión en los puntos de encuentro, organización del
transporte a las ubicaciones alternativas, modificación de los parámetros de comunicaciones WAN,
LAN, VLAN, telefónico, etc.

Planes de recuperación: Pasos que se deben cumplir:

 Cuándo y cómo realizar la comunicación con los diversos grupos de interés (empleados y
sus familiares, accionistas, socios, organismos oficiales, medios de comunicación, etc.).
 Cómo armar el equipo
 Cómo recuperar la infraestructura
 Cómo controlar si las aplicaciones están funcionando y si los derechos de acceso
 Cómo verificar qué datos faltan o han sido alterados por el desastre
 Cómo recuperar los datos Gestión de atención a emergencias informáticas
 Cómo decidir cuándo la recuperación ha terminado para poder comenzar el funcionamiento

Planes de recuperación después del desastre: se detalla cómo configurar cada sistema que se
ejecuta dentro del objetivo de tiempo de recuperación de cada actividad crítica determinada. Se
redacta un detallado plan de recuperación para cada sistema que se debe recuperar. Por regla
general, estos planes deben tener un nivel de detalle que permita que otros empleados o personal
externo pueda ejecutarlo si la gente que trabaja con esa actividad crítica no está disponible. Por lo
tanto, hay que usar sentido común cuando se redactan los planes, deben ser comprensibles para
todo el mundo, no sólo para usted.

BIA
Categoría 1: Procesos Misionales y/o Críticos (0 a 12 horas)
Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras idénticas. No
pueden reemplazarse por métodos manuales. Muy baja tolerancia a interrupciones.
Categoría 2: Vitales (13 a 24 horas)

C – AI-SGCN Área de Formación

Versión Agosto 2012 5
 TALLER N° 8

Pueden realizarse manualmente por un periodo breve. Costo de interrupción un poco más bajos,
sólo si son restaurados dentro de un tiempo determinado (5 ó menos días, por ejemplo).
Categoría 3: Importantes (1 a 3 días). Funciones que pueden realizarse manualmente por un
periodo prolongado a un costo tolerable. El proceso manual puede ser complicado y requeriría de
personal adicional.
Categoría 4: Menores (Más de 3 días)
Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.

El RTO (Recovery Time Objective) tiempo objetivo de recuperación, cuanto puede permanecer la
organización sin ejecutar una actividad, el uso de una aplicación (hardware y/o software) o
información relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El RTO
se utiliza para decidir cada cuanto se deben realizar respaldos de información o backups; también
es útil para decidir que infraestructura es requerida para reiniciar operaciones.
El RPO es ligeramente diferente. Que cantidad de información puede la organización perder. En
otras palabras, si su organización realiza respaldos nocturnos de información todos los días a las
7:00 PM y el sistema colapsa al día siguiente a las 4:00 PM, toda actualización que se realice
desde su último respaldo se perderá. El RPO para este contexto será el respaldo de información
que haya realizado en el día anterior. Ahora, si estamos hablando de un banco que hace
transacciones en Internet, el RPO debe ser prácticamente igual a cero, incluyendo la última
transacción y el último bit de información que se haya manejado. Así las cosas, el RPO nos dice
que clase de protección se requiere para la información que se maneja en su organización.
Maximum Tolerable Downtime (MTD) o Maximum Tolerable Outage (MTO) tal como suena, es el
tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de
una función o proceso. Diferentes procesos o tareas dentro de la organización pueden tener
diferentes MTD. Si una función de la Organización esta categorizada dentro de la Categoría 1,
obviamente tiene el MTD mas corto. Hay una correlación entre la criticidad de las funciones o
procesos de la organización y su tiempo máximo de inactividad. A mayor criticidad, menor tiempo
de espera a que se reinicie la operación en ese proceso o función. El tiempo de caída o de
inoperancia se constituye por dos elementos: el tiempo de recuperación del sistema y el tiempo de
trabajo en recuperación o WRT. Así las cosas, MTD = RTO + WRT.
Work Recovery Time (WRT) Tiempo de trabajo en Recuperación. Comprende máximo tiempo de
inactividad posible o MTD. Si su MTD es de 3 días, probablemente el día 1 sea el RTO y los días 2
y 3 pueden ser los WRT. Como es de esperar, toma tiempo hacer que las funciones criticas de la
organización estén nuevamente operando (hardware, software, configuraciones necesarias, etc.), y
este es un tema que usualmente se ignora en las etapas de planeación, especialmente por
Sistemas o IT.

Estrategia de Seguridad

Se utiliza una política de protección en los distintos niveles como: Física, Lógica, Humana y la
interacción que existe entre estos factores. En cada caso considerado, el plan de seguridad debe
incluir una estrategia Proactiva y otra Reactiva (1).
La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos
que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de
seguridad y a desarrollar planes de contingencia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de
seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de
contingencia desarrollado en la estrategia proactiva, a documentar y aprender de la experiencia, y
a conseguir que las funciones comerciales se normalicen lo antes posible.

Políticas de recursos compartidos:

 Lo que no se permite expresamente está prohibido.

 Lo que no se prohíbe expresamente está permitido.

C – AI-SGCN Área de Formación

Versión Agosto 2012 6
 TALLER N° 8

Controles implementados
 Gestión de activos
 Inventario de activos
 Propiedad de activos
 Uso aceptable de los activos
 Directrices de clasificación
 Seguridad física y del entorno
 Gestión de comunicaciones y Operaciones
 Control de acceso
 Conformidad

6.0 REVISIÓN SGCN

6.1 Se ha definido realizar la revisión a intervalos planificados de cada (3) meses para asegurar la
conveniencia y efectividad del sistema. Se deja registro en las actas de revisión al SGCN. Se ha
definido las responsabilidades.
6.4 Auditorias internas, se ha definido un procedimiento documentado en el programa de auditoria
se ha definido el intervalo de las auditorias internas y el tipo de auditoria; para generar el programa
se tiene en consideración los siguientes aspectos: BIA, Riesgos y resultados previos de auditoria.
Los resultados de las auditorias son registrados. Se tienen auditores internos calificados.
.
7.0 MEJORA SGCN

El Plan de Continuidad del Negocio debe estar actualizado y revisado periódicamente. El

mantenimiento y actualización del Plan de Continuidad del Negocio es muy importante si se
requiere una operación exitosa en un momento dado. Se requiere probar las implicaciones por
cambios en el BCP, de lo contrario su ejecución puede resultar en una serie de fallas y debilidades.
Los cambios incluyen: Adquisiciones de nuevos equipos, actualizaciones en los sistemas
operacionales, cambios en el personal, direcciones o números telefónicos, estrategias de negocio,
ubicaciones físicas, leyes, contratistas, proveedores de servicio y clientes muy importantes,
procesos nuevos o eliminados y riesgos.

7.1 Mantener únicamente la eficiencia de SGCN, cubre la metodología utilizada en el registro,

recolección, análisis, resumen y comunicación de todos los datos pertinentes para monitorear y
mejorar la efectividad del funcionamiento.

7.2 Acción correctiva, se ha establecido un procedimiento documentado para el cumplimiento de

todos los requisitos de la norma ISO22301. (SGCN-PROC-01 Ver 03).

7.3 Acción preventiva, se ha establecido un instructivo documentado para las no conformidades

potenciales y las medidas preventivas se disponen para eliminar o minimizar que ocurran.

C – AI-SGCN Área de Formación

Versión Agosto 2012 7
 TALLER N° 8

Anexo Estructura General Plan de continuidad del negocio

Alcance: Este documento aplica para los planes de continuidad del negocio de cada proceso del
negocio de FactElectronics Services Inc.

Objetivo: Evitar duplicidad en documentos y prevenir el uso de documentos obsoletos, garantizar

un entendimiento en todas las áreas o procesos.

Responsabilidades: Este documento es responsabilidad del proceso de gestión de documentos y

comité de continuidad del negocio.

Revisión: Este plan general puede cambiar si existen cambios en el contenido global de los planes
y es requerido estandarizar para todos los planes.

El plan de continuidad de negocio debe incluir:

 Definición de criterios para su activación
 Una estrategia de recuperación de desastres teniendo en cuenta aspectos como
costos de las diferentes alternativas, costos de servicios alternos, prioridades.
 Determinar tiempos de recuperación,
 Determinar los negocios a incluir de acuerdo al alcance definido.
 Determinar los servicios y aspectos técnicos e información relevante para soportar la
operación.
 Identificar las responsabilidades.
 Determinar los procedimientos de emergencia para permitir la recuperación en un
tiempo determinado.
 Procedimientos de contingencia.
 Procedimientos de regreso a la operación normal.
 Documentar como operar los procesos incluidos.
 Educación apropiada sobre manejo de emergencias.
 Cronograma de pruebas

C – AI-SGCN Área de Formación

Versión Agosto 2012 8
 TALLER N° 8

Anexo Política General de Continuidad del Negocio

Doc.: SGCN-POL1 V10

Alcance: Esta política la debe cumplir todo el personal que labore FactElectronics Services Inc
bien sea directa o indirectamente, es decir, empleados directos, indirectos, contratistas, con el fin
de poder garantizar la continuidad del negocio, en caso de un evento que afecte la operación
normal.

Objetivo: Evitar interrupciones a los procesos críticos del negocio como consecuencia de cualquier
inconveniente, fallas o desastres.

Roles y responsabilidades: Esta política debe ser aprobada, mantenida y comunicada por la alta
dirección de FactElectronics Services Inc.

Revisión: Está política debe ser modificada si existieran cambios en los procesos de negocio de o
cambios en los planes de continuidad del negocio.

Violaciones a la política
La alta dirección será responsabilidad del compromiso de aprobar y hacer mantener los diferentes
planes para evitar incumplir con requisitos legales, judiciales y contractuales, cualquier
incumplimiento puede generar un riesgo de las operaciones de la organización.
El personal interno o externo debe cumplir las políticas de continuidad del negocio y cualquier
violación será tratada de acuerdo con el procedimiento disciplinario.

Entrenamiento y concientización de las políticas y planes

Todo el personal debe conocer esta política y cuando corresponda las políticas específicas, así
como los planes de Continuidad del Negocio y su responsabilidades deben ser claras. La
concientización del Plan de Continuidad del Negocio (BCP), es esencial para poder continuar con
las actividades críticas del negocio en el evento de una falla inesperada, que pudiera afectar los
procesos y actividades esenciales de la operación. Para que el Plan de Continuidad del Negocio
sea exitoso, todo el personal debe estar consiente de conocer su contenido, junto con las
actividades y responsabilidades de cada parte.

Política General de Continuidad del Negocio

La Política de la organización FactElectronics Services Inc., está orientada a gestionar
eficazmente cualquier interrupción en los procesos del negocio críticos que afecta la operación. Es
responsabilidad de la alta dirección aprobar los planes para garantizar la continuidad del negocio,
asignar recursos únicamente tecnológicos necesarios para mantener, operar el sistema de
continuidad del negocio y compromiso de adoptar los controles y acciones necesarias del resultado
del análisis de impacto al negocio y de los riesgos. Todos los procesos críticos del negocio deben
disponer de planes de contingencia y de recuperación en caso de desastres. Gestionar
adecuadamente los incidentes y asegurar la operación inmediata de las operaciones esenciales.
Garantiza el cumplimiento con las leyes internas y comunica la política de continuidad a los
empleados de TI.

Esta política se relaciona con las políticas específicas detalladas a continuación:

 Riesgos
 Copias de Respaldo
 Control de acceso
 Seguridad física
 Mantenimiento de planes
 Planificación de planes
 Comunicación

C – AI-SGCN Área de Formación

Versión Agosto 2012 9
 TALLER N° 8

 Reporte de incidentes

Anexo

METODOLOGÍA DE GESTIÓN DE RIESGOS SGCN-RIE-02 Ver 01

Objetivo:
Proporcionar la metodología y criterios para la efectiva identificación, análisis, evaluación,
tratamiento y monitoreo de los riesgos existentes o potenciales a la organización.

Alcance:
Aplica para todo el sistema de Continuidad del Negocio.

Definiciones:

- Causa: Son los medios, circunstancias y agentes que generan los riesgos.
- Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo.
- Probabilidad: Medida (expresada como porcentaje o razón) para estimar la posibilidad de que
ocurra un incidente o evento, la cual puede ser medida con criterios de frecuencia, si se ha
materializado, o de factibilidad si nunca se ha materializado.
- Riesgo: Posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal
desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
- Riesgo residual: Es el riesgo que queda cuando las técnicas de la administración del riesgo
han sido aplicadas.

Norma aplicable:
Decreto 2145 de 1999, por el cual se dictan normas sobre el Sistema Nacional de Control Interno
de las Entidades y Organismos de la Administración Pública del Orden Nacional y territorial y se
dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 del 2000.

Generalidades:
Para la identificación de los riesgos en los procesos y actividades: la entrada son actividades
como entrevistas estructuradas con expertos en el área, reuniones con directivos y con personas
de todos los niveles en la entidad, evaluaciones con cuestionarios, lluvias de ideas con los
servidores de la entidad, retroalimentación de otras partes interesadas, entrevistas y hacer
revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización,
etc. (Se identifican los activos, amenazas, vulnerabilidades y posible impacto).

Identificación del riesgo se debe clasificar los mismos teniendo en cuenta siguientes conceptos:
(Estratégicos, operativos, financieros, ambientales y tecnológicos, etc).

Análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de
sus consecuencias.

Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz SGCN-Rie-01
Ver 01, según la celda que ocupa, aplicando los siguientes criterios:
Si el riesgo se ubica en la Zona de Riesgo Aceptable, significa que su Probabilidad es baja y su
Impacto es leve, lo cual permite a la organización asumirlo, es decir, el riesgo se encuentra en un
nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se
poseen.
Si el riesgo se ubica en la Zona de Riesgo Inaceptable, su probabilidad es alta y su Impacto
catastrófico, por tanto es aconsejable eliminar la actividad que genera el riesgo en la medida que
sea posible, de lo contrario se deben implementar controles de prevención para evitar la

C – AI-SGCN Área de Formación

Versión Agosto 2012 10
 TALLER N° 8

probabilidad del riesgo, de protección para disminuir el Impacto o compartir o transferir el riesgo si
es posible a través de pólizas de seguros u otras opciones que estén disponibles.

Valoración del riesgo producto de confrontar los resultados de la evaluación del riesgo con los
controles identificados

Tratamiento de Riesgos: siguientes opciones:

Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización.
Reducir el riesgo: tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de
prevención), como el impacto (medidas de protección).
Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones,
como en el caso de los contratos de seguros o a través de los contratos a riesgo compartido.
Asumir un riesgo, aceptar la pérdida residual probable y elaborar los planes de contingencia para
su manejo.

C – AI-SGCN Área de Formación

Versión Agosto 2012 11
 TALLER N° 8

Anexo
GESTIÓN DE ATENCIÓN A EMERGENCIAS INFORMÁTICAS
SGCN-EM01 Ver 01

POLITICAS RELACIONADAS/REFERENCIAS

• Gestión de Seguridad
• Control de acceso a la Información
• Operación de la Información TI

OBJETIVO
Regular las actividades informáticas ante situaciones de emergencia.

ALCANCE
Cubre todas las situaciones de emergencia que se puedan producir en tecnológica.

RESPONSABLES
• Responsable mantenimiento: Grupo Informática.
• Responsable cumplimiento: Empleados de TI, soporte, incidentes y cambios.
• Responsable de su control: Auditoria interna.

DESCRIPCIÓN

• Situación de emergencia informática: aquella incidencia que impide continuar con el proceso de
información y no se le puede dar solución en el plazo requerido.
• No toda incidencia será tratada como una situación excepcional, es de responsabilidad de quien
autoriza la justificación con posterioridad la calificación de la emergencia o incidente.
El grupo comité técnico analizará y diseñará un conjunto de perfiles de excepción y emergencia
que permitan accesos excepcionales a los componentes de la plataforma tecnológica. Con estos
perfiles se podrán realizar actividades normalmente restringidas a los usuarios informáticos, pero
necesarias en un momento particular para garantizar la continuidad del negocio:
Comité deberá solicitar se asigne una contraseña a cada perfil de excepción. Estas se
almacenarán en un documento que deberá ser entregado al responsable del centro de cómputo y
al responsable de Seguridad Interna (sobre sellado).
Comité determinarán el listado de las personas autorizadas para atender las situaciones de
emergencia en el entorno informático.
Comité en la definición de la lista de perfiles de excepción, se tendrá en cuenta análisis de riesgo.
La lista de perfiles de excepción estará firmada por el Jefe de comité de CN.
El responsable del centro de cómputo tendrá en custodia una copia de la relación de perfiles de
excepción y debe mantener actualizada la citada relación.
• En horarios no hábiles, el responsable del centro de cómputo, o en su defecto, el jefe de
seguridad de turno, podrá proporcionar las contraseñas a las personas autorizadas.
Siempre quedará constancia formal del uso de las contraseñas de excepción con su respectiva
justificación. Asimismo, el Grupo Seguridad Informática investigará a la mayor brevedad las
acciones realizadas por el usuario en el sistema y procederá a solicitar el cambio de la contraseña.
La frecuencia del uso de perfiles de excepción por un determinado usuario a fin de realizar tareas
particulares en el sistema, deberá ser reportada al Grupo de Seguridad Informática.
• El monitoreo estará a cargo de auditorias internas técnicas.
• Las instrucciones de operación de las áreas de procesamiento y/o almacenamiento de
información deben estar disponibles para los responsables respectivos.

C – AI-SGCN Área de Formación

Versión Agosto 2012 12
 TALLER N° 8

Anexo
Procedimiento Acción correctiva: SGCN-PROC-01 Ver 03

Edición: 0
FactElectronics Services Inc Fecha: 10-04-
2008
Código:
PROCEDIMIENTO DE ACCIÓN CORRECTIVA P - AC - 03
OBJETO Eliminar la causa de las no conformidades con el objeto de prevenir su recurrencia,
las acciones correctivas deben ser apropiadas a las causas y problemas encontrados.

ACTIVIDADES RESPONSABLES REGISTROS

1. Detectar problemas o no conformidades. 1. Cualquier colaborador Herramienta
Herramienta
2. Jefe de área, Representante de la Formato de
2. Registrar problemas.
dirección acción
correctiva
Formato de
3. Jefe de área, Representante de la
3. Analizar las causas acción
dirección
correctiva
4. Jefe de área, Representante de la
4. Determinar acción correctiva y registrar.
dirección
5. Implementar acción.
5. Dueño del proceso
6. Seguimiento a la acción. 6. Jefe de área, Representante de la
dirección

7. Eficaz 7. Auditores internos

8. Generar nueva solicitud de acción

9. Jefe de área, Representante de la
correctiva
dirección
9. Cerrar acción correctiva.
10. Auditores internos

10. Registro indicadores 10. Representante de la dirección Indicadores

11. Ingresar información al reporte y Revisión
11. Alta Dirección
revisión dirección dirección

C – AI-SGCN Área de Formación

Versión Agosto 2012 13