PLAN DE CONTINUIDAD DE NEGOCIO

ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE

SEGURIDAD SOCIAL EN SALUD

BOGOTÁ, OCTUBRE DE 2020

 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

TABLA DE CONTENIDO

1. ALCANCE .......................................................................................................... 3
2. ÁMBITO DE APLICACIÓN .................................................................................. 3
3. DOCUMENTOS ASOCIADOS AL MANUAL ............................................................ 3
4. NORMATIVA Y OTROS DOCUMENTOS EXTERNOS .............................................. 3
5. GENERALIDADES .............................................................................................. 3
6. DEFINICIONES ................................................................................................. 6
7. PARTE 1 PLANEACIÓN ...................................................................................... 8
7.1 OBJETIVO GENERAL ......................................................................................... 8
7.2 OBJETIVOS ESPECÍFICOS ................................................................................. 8
7.3 ALCANCE .......................................................................................................... 8
7.4 POLÍTICA DE CONTINUIDAD ............................................................................ 9
7.5 ORGANIZACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO .............. 9
8. PARTE 2 IMPLEMENTACIÓN PCN .................................................................... 13
A. FASE DE PREVENCION .................................................................................... 13
8.1 ANÁLISIS DE IMPACTO DEL NEGOCIO – BIA .................................................. 13
8.2 IDENTIFICACIÓN DE RIESGOS ....................................................................... 17
8.3 ESTRATEGIA DE CONTINUIDAD ...................................................................... 19
B. FASE DE ADMINISTRACIÓN DE CRISIS ........................................................... 20
8.4 PROTOCOLO DE GESTIÓN DE CRISIS .............................................................. 20
8.5 RETORNO A LA NORMALIDAD ......................................................................... 21
9. PARTE 3. SEGUIMIENTO Y MEJORA ................................................................ 22
9.1 PRUEBAS Y REVISIÓN PERIODICA DEL PLAN ................................................. 22
9.2 ENTRENAMIENTO ........................................................................................... 22
9.3 MEJORA .......................................................................................................... 22

Página 2 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

1. ALCANCE

La continuidad de negocio se enmarca en la gestión de riesgos institucional y se incluye en el proceso

de Direccionamiento Estratégico. En este documento se define la ruta general de acción para
enfrentar la materialización de riesgos que afecten la operación y el cumplimiento de objetivos
cuando los escenarios de interrupción son prolongados y requieren la adecuada valoración del
impacto para la toma de decisiones.

2. ÁMBITO DE APLICACIÓN

El Plan de Continuidad de Negocio aplica para todos los procesos institucionales y se enmarca en la
gestión de riesgos y en el proceso de Direccionamiento Estratégico de la ADRES. Define los
mecanismos y estrategias de contingencia para enfrentar situaciones que pongan en riesgo la
normal operación de la Entidad.

3. DOCUMENTOS ASOCIADOS

 Proceso de Direccionamiento Estratégico

 Política y Manual de Administración de Riesgos
 Política y Manual de Riesgos de Seguridad y Privacidad de la Información
 Mapa de Riesgos Institucional
 Plan de Emergencias y Contingencias
 Plan de Recuperación de Desastres
 Listado maestro de documentos
 Matriz BIA – Matriz de Análisis de Impacto de Negocio
 Normograma

4. NORMATIVA Y OTROS DOCUMENTOS EXTERNOS

 NTC ISO-22301:2012 Continuidad de Negocio. Sistemas de gestión de Continuidad de

Negocio. Requisitos.
 NTC ISO-IEC 27001:2013 Tecnología de la Información. Técnicas de Seguridad. Sistemas de
Gestión de la Seguridad de la Información Requisitos.
 Guía para la preparación de las TIC para la continuidad del negocio, MINTIC.
 Guía para realizar el Análisis de Impacto de Negocios BIA, MINTIC.
 Guía: Controles de Seguridad y Privacidad de la Información, MINTIC

5. GENERALIDADES

La Gestión de Continuidad de Negocio (GCN) pretende mantener en niveles previamente definidos

y aceptados, las condiciones de prestación de servicios que se desarrollan en los procesos críticos
de la entidad y garantizar el retorno seguro de la operación en caso de materializarse los riesgos
que se asocien a la interrupción o indisponibilidad de recursos para el desarrollo de la operación
institucional normal (ISO 22301:2019).

Página 3 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Gráfica 1: Ciclo de gestión de continuidad

Fuente: Elaboración propia con base en ISO 22301:2019.

Para implementar de forma organizada la GCN es necesario contemplar las acciones que se derivan
del entendimiento del ciclo PHVA y a partir de esto, estructurar los componentes esenciales de este
Plan de Continuidad de Negocio (PCN) definidos en el siguiente orden:

- Parte 1: Planeación. Definición de los objetivos del PCN, la política de continuidad, los roles
y responsabilidades de las instancias de decisión y operación de la continuidad del negocio
y el alcance de este documento.
- Parte 2: Implementación. Evaluación de riesgos, análisis de impacto del negocio,
priorización de procesos, instrumentos y protocolos para la administración de crisis o
emergencias.
- Parte 3: Seguimiento y Mejora. Abarca las etapas del ciclo V y A en las que se adelanta la
revisión y actualización del plan a partir de lecciones aprendidas y los resultados de la
implementación.

La Administradora de los Recursos del Sistema General de Seguridad Social en Salud (ADRES)
reconoce que, ante la posibilidad de la ocurrencia de un incidente o desastre, existen amenazas que
afectarían la operación, y por lo tanto, la necesidad de recuperarse en el menor tiempo posible,
garantizando la continuidad de la operación de la Entidad.

Esta herramienta mitiga el riesgo de no disponibilidad de los recursos necesarios para el normal
desarrollo de las operaciones y como tal hace parte del Sistema de Gestión de Riesgo Operativo,
ofreciendo como elementos de control la prevención y atención de emergencias, la administración
de la crisis, los planes de contingencia y la capacidad de retorno a la operación normal.

Página 4 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Para esto, es necesario entender que, este plan se relaciona de forma directa con otros planes e
instrumentos que complementan y aportan a la continuidad de la operación institucional:

Grafica 2: Relación del PCN con otros instrumentos de gestión.

Sistema de
Gestión de
Seguridad y
Privacidad de
la Información

Plan de
Continuidad Sistema Acciones de
Contingencia
Integrado
de Negocio

de Gestión
de Riesgos
Plan de
Plan de
Recuperación
Emergencias
de Desastres

Fuente: Elaboración propia

Sistema Integrado de Gestión de Riesgos

El Sistema está definido en la ADRES a través de la Política de Administración de Riesgos y el Manual

para la administración de riesgos1, fundamentado en el sistema de gestión por procesos, con
enfoque preventivo, de evaluación y mejoramiento continuo. Además, establece la “metodología de
administración de riesgos de gestión, corrupción y de Lavado de Activos y Financiación del
Terrorismo- LA/FT y seguridad de la información, de acuerdo con los lineamientos de la guía para
la administración del riesgo y el diseño de controles en entidades públicas versión 4 del
Departamento Administrativo de la Función Pública y la Circular 06 de la Superintendencia Nacional
de Salud; mediante la identificación, análisis y valoración, establecimiento de controles, tratamiento
y monitoreo a los riesgos que puedan afectar negativamente la gestión de los procesos de la
Administradora de los Recursos del Sistema de Seguridad Social en Salud - ADRES en su modelo
integrado de planeación y gestión institucional”.

1 Disponibles para su consulta en https://www.adres.gov.co/Transparencia/Manuales-t%C3%A9cnicos

Página 5 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

En esta gestión de riesgos se incluyen controles preventivos y detectivos, documentados en los

procesos institucionales, así como acciones de contingencia, en caso de materialización de estos.
Cada uno de estos elementos se han definido para asegurar el cumplimiento de los objetivos
institucionales.

Sistema de Gestión de Seguridad y Privacidad de la Información

Definido en la Política General de Seguridad y Privacidad de la Información y el Manual de Políticas
Específicas de Seguridad y Privacidad de la Información 2, que establece los lineamientos para la
gestión de información y de los sistemas que soportan la operación institucional.

Acciones de contingencia
Actividades previstas para enfrentar escenarios de emergencia, indisponibilidad o la materialización
de riesgos que afecten el cumplimiento de los objetivos institucionales, así como la operación normal
de la entidad. En la ADRES se encuentran incluidas en este plan de continuidad, en el plan de
emergencias y en las fichas de riesgos de la entidad.

Plan de Emergencias3
Establece los procedimientos que se deben seguir en el evento en que una situación se convierta
en una amenaza potencial a la salud o seguridad del personal, relacionados directamente con
afectaciones a la infraestructura institucional. Tales eventos se definen en este instrumento, así
como la estructura organizativa prevista para gestionarlos.

Plan de Recuperación de Desastres

Diseñado para recuperar las capacidades de las tecnologías de información y las comunicaciones
ante la eventualidad de una falla parcial o total de los servicios y sistemas de información que se
encuentran bajo la administración directa de la Dirección de Gestión de Tecnologías de la
Información y las Comunicaciones -DGTIC, de manera que se pueda continuar con la operación de
los procesos que soportan el negocio de la entidad. El plan de recuperación de desastres será
activado una vez se hayan agotado todas las estrategias de recuperación existentes, apoyadas en
los procedimientos operacionales que sean determinados para utilizar en el análisis del incidente
presentado y no hayan permitido la contención del incidente. (Plan de Recuperación de Desastres
de la ADRES, 20194)

6. DEFINICIONES

Administración del Plan de Continuidad de Negocios: Sistema administrativo integrado,

transversal a toda la organización, que permite mantener alineados y vigentes las iniciativas,
estrategias, planes de respuesta y demás componentes y actores de la continuidad del negocio.
Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo. Abarca
las personas, procesos de negocios, tecnología e infraestructura.

Amenaza: persona, situación o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.

Análisis de Impacto del Negocio (BIA): etapa en la que se identifica la urgencia de recuperación
de cada proceso, determinando el impacto en caso de interrupción.

2 Disponible en https://www.adres.gov.co/Transparencia
3 Publicado en https://www.adres.gov.co/Transparencia/Manuales-t%C3%A9cnicos
4 Disponible en https://www.adres.gov.co/Transparencia/Manuales-t%C3%A9cnicos

Página 6 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Backup: copia de los datos originales que se realiza con el fin de disponer de un medio para
recuperarlos en caso de pérdida.

Control: proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el
riesgo o potenciar oportunidades positivas.

Disponibilidad: atributo de la información que le permite estar en el momento y en el formato que

se requiera ahora y en el futuro, igual que los recursos necesarios para su uso.

Frecuencia: estimación de ocurrencia de un evento en un período de tiempo determinado. Los

factores para tener en cuenta para su estimación son la fuente de la amenaza, su capacidad y la
naturaleza de la vulnerabilidad.

Impacto: efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo se
mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y
competitividad, interrupción de las operaciones, consecuencias legales y afectación física a
personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad:
confiabilidad, disponibilidad y recuperabilidad.

Incidente de Trabajo: evento que no es parte de la operación estándar de un servicio y que puede
causar su interrupción o reducción en la calidad o en la productividad.

Planes de contingencia: conjunto de acciones y recursos para responder a las fallas e

interrupciones específicas de un sistema o proceso y que pretenden detener el efecto o las
consecuencias inmediatas que se presenten ante la materialización de riesgos asociados a la
interrupción de la operación.

Plan de Continuidad de Negocio (PCN): conjunto detallado de acciones que describen los
procedimientos, sistemas y recursos necesarios para retornar y continuar la operación, en caso de
interrupción.

Plan de Recuperación de Desastres (DRP): estrategia que se sigue para restablecer los servicios
de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por
un incidente o catástrofe de cualquier tipo que atente contra la continuidad del negocio.

Problema de Continuidad de Negocio: evento interno o externo que interrumpe uno o más de
los procesos de negocio. El tiempo de la interrupción determina que una situación sea un incidente
o un desastre.

Resiliencia: capacidad de absorber y adaptarse a un entorno cambiante (ISO 22301:2019)

Riesgo: probabilidad de materialización de una amenaza por la existencia de una o varias

vulnerabilidades con impactos adversos para la Entidad.

Riesgo inherente: es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección
para modificar su probabilidad o impacto.

Riesgo residual: nivel de riesgo que permanece luego de tomar sus correspondientes medidas de
tratamiento.

Página 7 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Punto Objetivo de Recuperación (RPO): rango de tolerancia que la entidad puede tener sobre
la pérdida de datos y el evento de desastre. Tiempo aceptable de recuperación de las actividades
bajo unas condiciones mínimas.

Tiempo Objetivo de Recuperación (RTO): tiempo que puede emplear el personal de TI para
volver a poner la aplicación en línea después de ocurrir un incidente o desastre.

Tiempo máximo de inactividad tolerable (MTD- Maximum Tolerable Downtime): espacio de

tiempo durante el cual un proceso puede estar inoperante hasta que la empresa empiece a tener
pérdidas y colapse.

Vulnerabilidad: debilidad que se ejecuta accidental o intencionalmente y puede ser causada por
la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la
Institución. Ejemplos: deficiente control de accesos, poco control de versiones de software, entre
otros.

7. PARTE 1 PLANEACIÓN

7.1 OBJETIVO GENERAL

Preparar a la ADRES para responder ante determinadas emergencias, recuperarse de ellas y mitigar
los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la atención de
clientes y de la operación.

7.2 OBJETIVOS ESPECÍFICOS

 Identificar los procesos y procedimientos del negocio que son críticos para la operación de la
(ADRES).
 Establecer el tiempo máximo tolerable permitido de pérdida de información ante una
interrupción en los sistemas de información (RPO).
 Establecer el tiempo máximo tolerable de inactividad de los procedimientos (MTD).
 Priorizar y establecer el período de tiempo en el que los sistemas, aplicaciones y funciones deben
ser recuperados después de una interrupción (RTO).
 Establecer la criticidad de los aplicativos de acuerdo con el uso en los procedimientos
 Determinar el personal, herramientas TIC e infraestructura necesarios para la gestión de
continuidad de negocio
 Identificar los riesgos a que están expuestas las operaciones de la ADRES en cada uno de los
procesos de negocio, con el fin de suministrar información para la determinación estrategias que
mitiguen los impactos.
 Suministrar la información necesaria con el fin de establecer estrategias que permitan garantizar
la continuidad de la operación de la ADRES.

7.3 ALCANCE

Este Plan se activará en el evento en que se vea comprometida la operación normal de la Entidad,
afectando la continuidad de los procesos críticos identificados y ante la imposibilidad de reducir el
riesgo con la ejecución de las acciones de contingencia del Mapa de Riesgos Institucional. De
acuerdo con la naturaleza del riesgo o evento, se activará en conjunto con el Plan de Emergencias
y Contingencias de la Entidad, cuando se vea comprometida la seguridad del personal que se
encuentra en las instalaciones de la entidad.

Página 8 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

El PCN, inicia con la identificación y socialización de los elementos críticos de la ADRES cuya
afectación o indisponibilidad impidan continuar la operación y finaliza con el análisis y acciones de
mejora identificadas en la implementación o revisión del Plan (simulacro o realidad).

7.4 POLÍTICA DE CONTINUIDAD

Contar con los medios y procedimientos necesarios para responder de forma adecuada ante un
evento o incidente que interrumpa de manera grave la operación, desde el momento en que este
se declare hasta el retorno a la operación normal, previniendo el impacto tanto a nivel reputacional
como económico sobre la ADRES. La Política de Continuidad se sustenta en un conjunto de principios
que se formulan a continuación, basándose en las necesidades del negocio y el entendimiento de
los riesgos asociados. Dichos principios son:

 La primera premisa y el objetivo prioritario es la protección y seguridad del personal, tanto en

situación normal como en situación de contingencia.
 El Comité Institucional de Gestión y Desempeño es la instancia responsable de la gestión de los
riesgos clave para la continuidad operativa de los procesos considerados críticos.
 La ADRES garantizará que el PCN se desarrolle e implante de forma adecuada, teniendo en
cuenta todas las áreas, proveedores y servicios críticos que permitan mantener la prestación de
servicios institucionales.
 La ADRES garantizará que el PCN y los elementos que lo conforman se mantengan actualizados,
se revisen, y en su caso, se mejoren de forma periódica, al menos una vez al año, o ante cambios
significativos en personas, procesos, tecnología o estructura organizativa; para lo cual
participarán activamente en dicha revisión funcionarios que ejecutan procesos identificados
como críticos.
 La ADRES garantizará que todo el personal de las distintas áreas de negocio y de soporte esté
informados de las responsabilidades que le competen en el marco de la Continuidad de Negocio,
mediante labores periódicas de formación y divulgación.
 La ADRES garantizará que los procesos críticos sean recuperados dentro de los márgenes de
tiempo que para efecto sean establecidos, cuando el evento no sea generado por un desastre
natural en cuyo caso por efectos normales los tiempos podrán ser mayores.
 La ADRES garantizará la continuidad de los aplicativos bajo su responsabilidad para los procesos
tecnológicos.

7.5 ORGANIZACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

La autoridad máxima en materia de la continuidad del negocio en la ADRES la constituye el Comité

Institucional de Gestión y Desempeño. El Comité, está encargado de definir y velar por el
cumplimiento de las normas que en materia de continuidad/recuperación deben cumplir los
funcionarios y terceros relacionados con la ADRES.

Tabla 1. Roles de miembros del Comité Institucional de Gestión y Desempeño

Comité Institucional de Gestión y
Roles de Contingencia
Desempeño
Director (a) General o su delegado, quien
Director de Continuidad
coordinara el Comité
Jefe Oficina Asesora de Planeación y Control
Director Alterno de Continuidad
de Riesgos
Líder de Administración
Director (a) Administrativo y Financiero /Recuperación
Infraestructura Física

Página 9 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Director (a) de Gestión de Tecnologías de la

Líder de Recuperación Tecnológica
información y de las Comunicaciones
Director (a) de Gestión de Recursos
Financieros de Salud
Director (a) de Liquidaciones y Garantías Coordinadores de Recuperación

Director (a) de Otras Prestaciones

Jefe de Control Interno Tareas de apoyo, control y
Jefe Oficina Asesora Jurídica cumplimiento
Asesor de Comunicaciones código 201 grado Comunicación en crisis o
1 del Despacho del Director General contingencia

A. ROLES Y RESPONSABILIDADES

A continuación, se describen los roles y responsabilidades de los integrantes del Comité en lo

respectivo al PCN; vale aclarar que las personas nombradas como principales y sus suplentes tienen
las mismas responsabilidades.

Director de Continuidad

El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del PCN. Es
responsable de declarar la contingencia mediante acto administrativo, ante el escenario de
interrupción de lugar de trabajo, con base en las decisiones tomadas por el Comité Institucional de
Gestión y Desempeño en situaciones donde amerite realizar su activación inmediata.

Responsabilidades

 Delegar de manera expresa en el Comité Institucional de Gestión y Desempeño, la

responsabilidad de actualizar, mantener y probar el Plan de Continuidad.
 Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperación y contingencia de la Entidad.
 Liderar las reuniones del Comité Institucional de Gestión y Desempeño.
 Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la Entidad
y que ponen al descubierto debilidades del PCN.
 Monitorear los reportes sobre el estado de recuperación o evaluación durante una
contingencia.
 Velar por la seguridad del personal que actúa en el área del evento.
 Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario
de interrupción de lugar teniendo en cuenta el resultado de la evaluación
 Velar por la ejecución del debido análisis causa – efecto del evento que ocasionó la
contingencia.

Director Alterno de Continuidad

Asumir el rol y cumplir con las responsabilidades del Director de Continuidad cuando éste no se
encuentre disponible. Es responsable de declarar la contingencia ante un incidente tecnológico de
algún aplicativo (contingencia específica), con base en el análisis realizado por la Dirección de
Tecnología y de realizar las actividades que le sean asignadas por el Director de Continuidad.

Líder Administrativo

Página 10 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la Entidad se
encuentre operando bajo contingencia, es quien ayuda a gestionar en las instalaciones el suministro
de elementos esenciales para asegurar el desarrollo de la operación.

Responsabilidades

 Coordinar el suministro de elementos esenciales como transporte, recursos de

infraestructura y papelería.
 Gestionar la consecución y adecuación de los centros alternos de operaciones según el plan
de operaciones en contingencia.
 Mantener informado al Comité Institucional de Gestión y Desempeño sobre incidentes por
falta de suministros.

Líder de Recuperación Tecnológica

Es la persona encargada de liderar la recuperación tecnológica, basados el Plan de Recuperación de

Desastres y el procedimiento de recuperación de desastres, asociados al proceso de Arquitectura y
Proyectos de TIC en la Entidad. Es el contacto directo entre la Dirección de Tecnología y el CIGD;
además, apoya las decisiones tomadas por el Director de Continuidad durante la declaración y
activación de la contingencia.

Responsabilidades

 Liderar la recuperación tecnológica, basada en las estrategias de continuidad definidas,

identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la
operación normal de la Entidad y que ponen al descubierto debilidades del plan de
continuidad.
 Mantener comunicación constante entre Coordinadores de Recuperación del Negocio durante
el estado de contingencia.
 Colaborar en la comunicación a los proveedores de los temas o servicios de su competencia,
sobre el estado de contingencia en que se encuentra la Entidad, esto previa decisión y
autorización del Director de Continuidad.
 Entregar los reportes correspondientes al Comité Institucional de Gestión y Desempeño
sobre el estado de la recuperación.
 Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten
situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y
responsabilidades, disponibilidad de los recursos, entre otros.
 Velar por la realización de las pruebas del Plan de continuidad y revisar los resultados
obtenidos en las mismas.
 Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.

Coordinadores de Recuperación

Los Coordinadores de Recuperación se encargan de liderar la recuperación de procesos de negocio

críticos, basados en las estrategias de contingencia, son el contacto directo entre los procesos de
negocio y el Comité Institucional de Gestión y Desempeño; además, colaboran con las decisiones
tomadas por el Director de Continuidad y el Comité durante la declaración y activación de la
contingencia.

Responsabilidades

Página 11 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

 Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las
interrupciones que están afectando la prestación del servicio.
 Ejecutar los planes de contingencia ante el incidente presentado.
 Identificar los posibles riesgos que afectan la continuidad de la operación normal de la
Entidad y que ponen al descubierto debilidades del PCN.
 Mantener comunicación constante durante el estado de contingencia.
 Colaborar en la comunicación a los proveedores sobre el estado de contingencia en que se
encuentra la Entidad, esto previa decisión y autorización del Director de Continuidad,
mediante comunicado elaborado en conjunto con la Dirección de Gestión de Tecnologías de
la información y de las Comunicaciones.
 Entregar los reportes correspondientes al Comité Institucional de Gestión y Desempeño
sobre el estado de la recuperación de sus áreas.
 Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
 Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.

Responsable de tareas de apoyo, control y cumplimiento

Responsabilidades

 Realizar las actividades que le sean asignadas durante la declaración de contingencia.

 Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la
funcionalidad del plan.

Asesor de Comunicaciones

El asesor de la Dirección General encargado de las comunicaciones tiene la responsabilidad de

asesorar en la comunicación del evento de interrupción a nivel interno (colaboradores) y a nivel
externo (clientes, proveedores, alianzas, organismos de control, entre otros) de acuerdo con las
decisiones tomadas por el Comité Institucional de Gestión y Desempeño y la política de
comunicación institucional.

Responsabilidades

 Asesorar al Comité Institucional de Gestión y Desempeño y específicamente al Director de

Continuidad en temas de comunicación en momentos de emergencia o crisis.

B. LÍDERES PCN

Cada área cuenta con un enlace de proceso que tiene las siguientes responsabilidades en la gestión
de continuidad sobre los procesos / procedimientos a cargo:

 Actuar como punto focal del área para todos los asuntos de continuidad del negocio.
 Cumplir con las actividades y fechas establecidas del cronograma de PCN.
 Mantener informados a todos los colaboradores de sus respectivas áreas, los planes de
contingencia que les compete.
 Asegurar la aplicación correcta de los PCN al interior del área.
 Revisar el impacto en el área durante el incidente.

Página 12 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

C. OFICINA ASESORA DE PLANEACIÓN Y CONTROL DE RIESGOS

Esta Oficina tiene a cargo las siguientes funciones en el plan de continuidad:

 Definir e implementar los instrumentos, metodologías y procedimientos tendientes a

gestionar efectivamente el PCN.
 Suministrar los programas de capacitación de PCN.
 Coordinar, apoyar y hacer seguimiento a la gestión de PCN en cada área.
 Guiar en el desarrollo de las diferentes etapas del PCN.

8. PARTE 2 IMPLEMENTACIÓN PCN

Atendiendo los lineamientos definidos en el capítulo anterior y la metodología definida en la ISO

22301, en esta parte se identifican dos fases para la continuidad de negocio:

Figura 1: Fases de la continuidad de negocio.

Fase de Plan de
Fase de prevención administración de
•Análisis de impacto del crisis
Negocio (BIA)
•Identificación de Riesgos •Activación
•Estrategia de •Retorno a la
Continuidad normatividad

Fuente: Elaboración propia con base en ISO 22301:2019

A. FASE DE PREVENCION

En esta fase se conocen las necesidades reales de la Entidad y sobre esta base se desarrollan los
diferentes mecanismos de prevención ante incidentes o desastres que mitigan su impacto. Está
conformada por las siguientes etapas:

8.1 ANÁLISIS DE IMPACTO DEL NEGOCIO – BIA

El objetivo principal del Análisis de Impacto del Negocio, conocido por su sigla en inglés BIA
(Business Impact Analysis), es determinar los procedimientos o procesos que garantizan la
continuidad de las operaciones de la Entidad y los posibles impactos ante eventos de indisponibilidad
o interrupción ocasionados por un desastre o evento crítico. Asií mismo, permite estimar los tiempos

Página 13 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

de recuperación de los procesos para retornarlos a la operación normal y los tiempos de

almacenamiento necesarios para reducir la pérdida de información.

Dentro de la construcción del Plan de Continuidad de Negocio de la ADRES, y teniendo en cuenta la

Guía para realizar el Análisis de Impacto de Negocios BIA definida por el Ministerio de Tecnologías
de la Información y Comunicaciones (MinTIC) dentro del marco del Modelo de Seguridad y
Privacidad de la información, se ha construido la matriz de Análisis de Impacto de Negocio de la
Entidad, la cual contempla las siguientes premisas.

 Será actualizada como mínimo una vez al año, esto conforme con la periodicidad de
seguimiento y mejora que se define dentro del presente plan.

 El análisis de Impacto de Negocio será revisado y aprobado por parte del Comité Institucional
de Gestión y Desempeño cada vez que se actualice y en el momento en que se presente un
evento de afectación de la continuidad de negocio.

 En este instrumento se identifican los procesos de la entidad y las actividades principales

que soportan la entrega de valor de la entidad, basado en el mapa de procesos institucional.

Figura 2: Mapa de Procesos de la ADRES

Fuente: OAPCR, octubre 2020

A continuación, se presentan las consideraciones que se han definido para el desarrollo del Análisis
de Impacto de Negocio de la ADRES.

Página 14 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Figura 3: Etapas para el Análisis de Impacto de Negocio

Fuente: elaboración propia

1. Identificación de funciones de procesos.

Dentro de esta etapa se busca analizar de manera general las funciones que se llevan a cabo por
los diferentes procesos dentro de la ADRES, para esto se deben tener en cuenta los siguientes
insumos:

 Mapa de procesos actualizado.

 Caracterizaciones de procesos vigentes
 Procedimientos documentados.

Esta tarea se encuentra liderada por la oficina Asesora de Planeación y Control de Riesgos y será
ejecutada por los diferentes enlaces y líderes de proceso, conforme al procedimiento de Elaboración
y Control de Documentos del proceso Gestión de Desarrollo Organizacional 5.

2. Evaluación de impactos operacionales

Teniendo en cuenta que dentro de un proceso se pueden realizar uno o más procedimientos y que
el desarrollo de estos puede tener un grado de criticidad mayor que otro, se ha tomado la siguiente
escala para determinar el impacto operacional.

 Nivel ALTO: la operación es crítica para el negocio. Una operación es crítica cuando al no
contar con ésta, la entrega de valor o de productos y/o servicios, no puede realizarse.
 Nivel MEDIO: la operación es una parte integral del negocio, sin ésta el negocio no podría
operar normalmente, pero la función no es crítica.
 Nivel BAJO: la operación no es una parte integral del negocio.

3. Identificación de procesos críticos.

5 Disponible en https://www.adres.gov.co/Transparencia/Manuales-t%C3%A9cnicos/Proceso-de-Planeaci%C3%B3n-y-Gesti%C3%B3n-
Institucional

Página 15 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

A nivel inicial, una vez se cuente con la identificación del impacto operacional por cada uno de los
procedimientos se podrá determinar la criticidad general del proceso validada desde el impacto,
para esto, los procesos que cuenten con uno o más procedimientos con nivel ALTO serán
considerados como críticos.

4. Establecimiento de tiempos de recuperación.

Para los diferentes procedimientos que se hayan identificado se deben establecer los tiempos de
recuperación que se describen a continuación:

Tabla 2. Tiempos de Recuperación

Tiempo de Descripción
Recuperación
RPO Magnitud de la pérdida de datos medida en
Recovery Point Objective términos de un periodo de tiempo que puede
tolerar un proceso de negocio.
RTO Tiempo Disponible para Recuperar Sistemas
Recovery Time Objective y/o recursos que han sufrido una alteración.
WRT Tiempo Disponible para Recuperar Datos
Work Recovery Time Perdidos una vez que los sistemas están
reparados. Tiempo de Recuperación de
Trabajo.
MTD Periodo Máximo Tiempo de Inactividad que
Maximum Tolerable puede tolerar la Entidad sin entrar en colapso.
Downtime

Para un mejor entendimiento a continuación se presenta la figura No. 4 que muestra de manera
gráfica estos tiempos de recuperación:

Figura 4: Esquema de tiempos de recuperación

Fuente: Elaboración propia con base en ISO 22301.

5. Identificación de recursos.

Posterior a la identificación de los tiempos de recuperación, se llevará acabo el análisis de la cantidad

estimada de recursos humanos que se requieren dentro de la operación normal, así como el
estimado para un escenario de contingencia. Es importante tener en cuenta las siguientes
consideraciones:

Página 16 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

 La cantidad de recursos en contingencia no debe superar la cantidad de recursos en

operación normal.
 La contingencia se entiende como “contingencia de continuidad”, en ninguna
circunstancia dentro del presente plan se entiende como contingencia por exceso de
trabajo producto de la operación normal.
 Los recursos clave para el desarrollo de la operación institucional identificados en los
formatos de caracterización de los procesos, con el fin de establecer los recursos mínimos
y necesarios para operar en contingencia sin que se generen afectaciones mayores en
los escenarios de interrupción.

6. Identificación de acciones o procedimientos alternos.

La ADRES busca que se determinen en los diferentes procedimientos las acciones para poder
continuar operando en caso de presentarse una interrupción prolongada. Para lo cual se debe tener
en cuenta:

 En cada revisión del análisis de impacto de negocio, si para el procedimiento que se está
verificando no se cuenta con acciones alternas o de contingencia, se debe indicar que la
decisión es esperar la recuperación y aplazar la ejecución.
 Los procedimientos alternos deben ser analizados teniendo en cuenta los diferentes
escenarios de no disponibilidad que se definen en el alcance y en el siguiente capítulo del
presente documento.

7. Generación de informe de Análisis de Impacto de Negocio.

Una vez se cuente con la actualización del consolidado de la revisión por los diferentes
procedimientos, la Oficina Asesora de Planeación y Control de Riesgos junto con el Líder de
Seguridad de la Información organizará la información buscando identificar:

 Procesos críticos
 Prioridades por cantidad de recursos asignados
 Tiempos MTD, RTO y RPO
 Procedimientos alternos.

Los resultados de la matriz BIA (adjunta), determinan la criticidad y prioridad de los procesos y
procedimientos que deben ser restaurados para garantizar la continuidad de la operación
institucional. Asimismo, los tiempos máximos de inactividad y de pérdida de datos que pueden
enfrentarse mediante acciones de contingencia y de restauración. Para ello, la ADRES cuenta con el
Plan de Recuperación de Desastres, el procedimiento de recuperación 6 y las guías que se deberán
activar en los eventos de fallo de estos sistemas que soportan su operación.

8.2 IDENTIFICACIÓN DE RIESGOS

En esta etapa se busca conocer las amenazas o riesgos específicos que enfrenta la ADRES en sus
procesos críticos de negocio, identificados en el Análisis de Impacto de Negocio (BIA), con el fin de
determinar la forma como se controlarán o mitigarán a un nivel aceptable de acuerdo con los
criterios previamente definidos en la política de gestión de riesgos. Para ello la Entidad cuenta con
el Mapa de Riesgos que contiene los riesgos de gestión o de proceso, riesgos financieros, riesgos de

6 Este procedimiento hace parte del proceso de Operación y Soporte a las Tecnologías de la información, disponible en
https://www.adres.gov.co/Transparencia/Manuales-t%C3%A9cnicos/Proceso-Operaci%C3%B3n-y-Soporte-a-las-TIC

Página 17 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

corrupción y riesgos de seguridad y privacidad de la información en donde se identifican, analizan,

valoran los controles y la forma de monitorearlo con el fin de prevenir la ocurrencia o minimizar el
impacto en caso de que se materialicen.

Es importante aclarar que en esta fase los riesgos se analizan desde la perspectiva de continuidad
de negocio contemplando los recursos necesarios para su ejecución y teniendo en cuenta los
procesos críticos definidos previamente. De igual forma, los riesgos a los que se exponen los
procesos críticos y los activos que soportan la operación, varía dependiendo de la naturaleza de la
amenaza o vulnerabilidad.

Las principales amenazas a las que se expone la operación institucional se pueden agrupar en:

 Aquellas que afectan la integridad de los servidores y contratistas: desastres naturales,

atentados terroristas, incendios, pandemias, paros y manifestaciones públicas.
 Aquellas que afectan bienes muebles e inmuebles y equipamiento de la entidad: terremoto,
incendio, inundaciones, explosiones, atentados terroristas.
 Aquellas que afectan servicios, aplicaciones y datos que soportan la operación: ataques
cibernéticos, errores en configuración, errores de usuarios, errores de administrador,
destrucción de información, fallos de servicios de comunicaciones, mal funcionamiento de
software, software dañino, acceso no autorizado, fallos eléctricos.

Los riesgos asociados a la continuidad de negocio identificados en los diferentes procesos

institucionales se enuncian a continuación:

 Indisponibilidad de canales y/o sistemas de información que soportan la operación de los

diferentes procesos.
 Pérdida de integridad y/o disponibilidad de la información.
 Incumplimiento de compromisos legales (de acuerdo con las funciones definidas para la
entidad y los procesos).
 Indisponibilidad de bienes y servicios para la operación (infraestructura, bienes muebles).
 Daño o deterioro de activos y/o infraestructura física.
 Incumplimiento en la prestación del servicio por error humano o indisponibilidad de recurso
humano.

Estos riesgos se encuentran integrados a la administración de riesgos institucional y son

monitoreados de forma periódica en cada uno de los procesos.

Ante materialización de amenazas que puedan afectar el recurso humano y la infraestructura física
institucional, la Entidad cuenta con el Plan de Emergencias que incluye acciones de evacuación y de
atención de lesionados de conformidad con la organización dispuesta, y acciones de contingencia
que requieren activaciones de pólizas y garantías para los activos cubiertos.

En eventos de materialización de riesgos de interrupción de la operación institucional, el Comité

Institucional de Gestión y Desempeño, deberá revisar las acciones de contingencia del Plan de
Emergencias, los procedimientos alternos definidas en la Matriz BIA (Anexo 1), así como las acciones
de contingencia incluidas en la gestión de riesgos (fichas de riesgos de los procesos). Estas acciones
de contingencia podrán actualizarse o ajustarse en consideración a las necesidades y escenarios de
interrupción o crisis, velando porque sean de rápida ejecución.

Página 18 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

8.3 ESTRATEGIA DE CONTINUIDAD

La estrategia de continuidad de la ADRES se basa en los escenarios de interrupción prolongada que

pueda enfrentar la entidad y en la definición de acciones que permitan garantizar la continuidad de
las operaciones críticas.

Tabla 3: Escenarios de interrupción prolongada

Escenario de
Amenaza Operación en Contingencia
Interrupción
Manifestaciones públicas
Documentación de procedimientos
Cierre de vías de acceso
Ausencia de Personal Capacitación de personal
Pandemia o emergencia sanitaria
Cuadros de sucesión temporal
Accidente, enfermedad o muerte
Desastres naturales Trabajo en casa a través del uso de
Indisponibilidad de Incendios tecnologías de información y
Infraestructura o Inundaciones comunicaciones.
imposibilidad de usarla Fugas de gas Centro de Trabajo Alterno
(edificación, equipos) Ataques violentos o terroristas Privilegiar canales de atención
Pandemia o emergencia sanitaria diferentes al presencial.
Desastres naturales
Indisponibilidad activos
Inundaciones e incendios
de TIC (Sistemas de Ejecución del Plan de Recuperación
Fallas eléctricas
información y bases de de desastres e información.
Fallas tecnológicas
datos y canales)
Error humano
Desastres naturales
Indisponibilidad de Pandemia o emergencia sanitaria Acuerdos de Nivel de Servicio
servicios gestionados Cierre de vías de acceso específicos para los Sistemas de
con terceros Ataques violentos o terroristas Gestión de Continuidad de Negocio,
(proveedores) Fallas tecnológicas de los proveedores.
Fallas eléctricas

8.3.1 ESTRATEGIAS POR AUSENCIA DE PERSONAL

Se presenta cuando el colaborador que ejecuta los procesos no puede asistir a trabajar para
desarrollar las actividades propias de su cargo. De forma preventiva, la entidad cuenta con un
proceso de Gestión del Desarrollo Organizacional que incluye un procedimiento para la generación
y actualización de la documentación de los procesos de la entidad, la cual integra el levantamiento
y descripción de procedimientos, definición de las políticas de operación y de guías para el desarrollo
de los objetivos de la Entidad. A partir de esto, los procesos capacitan a sus colaboradores y al
personal alternativo en las actividades definidas como críticas o prioritarias para la continuidad del
negocio de la ADRES. Asimismo, establecerán para esas acciones prioritarias, cuadros de sucesión
que se activarán en caso de ausencia del responsable en operación normal. Esta designación, estará
a cargo de los líderes de procesos.

8.3.2 ESTRATEGIA ANTE EL ESCENARIOS DE INDISPONIBILDIAD DE INFRAESTUCTURA

La alternativa de traslado del personal se presenta en el evento que los funcionarios no puedan
acceder a las instalaciones de la ADRES y de esta manera se afronta un evento de contingencia
permitiendo la continuidad de las operaciones de los procesos críticos desde un sitio alterno que,
para la ADRES, son las oficinas en la torre 3 del edificio Elemento, permitiendo la continuidad de las

Página 19 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

operaciones de los procesos críticos. En este escenario se deberá priorizar los puestos de trabajo
para el personal mínimo requerido para garantizar la continuidad de los procesos críticos definidos
en la matriz BIA.

La operación en contingencia referida a trabajo en casa deberá enmarcarse en el lineamiento que

se defina en el nivel directivo, con base en lo establecido por el Departamento Administrativo de
Función Pública (DAFP), para operar a distancia y en consideración del contexto de emergencia o
crisis. De igual forma deberá generarse la directriz para el retorno al sitio de trabajo en operación
normal cuando se defina que la situación de emergencia o riesgo ha sido superada.

Para procesos o actividades que implican atención a usuarios de forma presencial, como el proceso
de atención al ciudadano, se activarán o privilegiarán los canales de atención virtual y/o telefónico.

8.3.3 ESTRATEGIA POR INDISPONIBILIDAD DE ACTIVOS DE TIC

En el marco de la gestión de riesgos asociados a la disponibilidad de servicios y canales de TIC, que

no se logren normalizar con la gestión de incidentes, se activará el Plan de Recuperación de
Desastres, el cual cubre la infraestructura tecnológica de la ADRES que se encuentran bajo la
administración directa de la Dirección de Gestión de Tecnologías de la Información y las
Comunicaciones, la cual soporta las aplicaciones de los procesos críticos de la ADRES.

Se inicia con la recepción y análisis de un evento para determinar posible ejecución del Plan de
Recuperación de Desastres, continua, con la determinación de ejecución actividades de activación
y recuperación y finaliza con las actividades de retorno al estado normal de operación.

8.3.4 ESTRATEGIA DE SERVICIOS GESTIONADOS CON TERCEROS

De forma preventiva en los Acuerdos de Niveles de Servicios ANS deberán contemplarse escenarios
de riesgos que puedan afectar la continuidad de las operaciones. Asimismo, los requisitos de
contratación deberán incluir los protocolos de gestión de incidentes.

En eventos de interrupción de servicios gestionados por terceros, en coordinación con la Dirección

Administrativa y Financiera y la Dirección de Tecnologías de la Información y las Comunicaciones
se revisarán, evaluarán y ajustarán (en caso de que sea necesario) los ANS considerando el
escenario de contingencia y definiendo el plan de retorno a la normalidad.

B. FASE DE ADMINISTRACIÓN DE CRISIS

8.4 PROTOCOLO DE GESTIÓN DE CRISIS

Es importante tener en cuenta que el Plan de Emergencias establece un protocolo específico ante
situaciones de emergencia que afecten activos físicos e infraestructura institucional y puedan
comprometer el bienestar del talento humano. Este protocolo de gestión de crisis se articula con
ese instrumento y se activará en escenarios de interrupción prolongados que superan la gestión
preventiva de los riesgos.

Para asegurar la continuidad y velar por el restablecimiento de los servicios institucionales, se

deberá seguir el siguiente protocolo:

Página 20 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Durante el evento de interrupción o crisis

Paso 1: Activar el protocolo de respuesta ante las diferentes amenazas, así como protocolo de
evacuación, en caso de que aplique (Plan de Emergencias). – Brigadistas, equipos y/o Líder de
Administración/Recuperación Infraestructura Física (DAF).
Paso 2: Contactar recursos externos para atención de emergencias (Plan de Emergencias)- Asesor
de Comunicaciones en coordinación con Líder de Administración/Recuperación Infraestructura Física
(DAF).
Paso 3: Activar protocolo de atención de lesionados (Plan de Emergencias) - Brigadistas, equipos
y/o Líder de Administración/Recuperación Infraestructura Física (DAF).

Después del evento de interrupción o crisis

Paso 1: Convocar al Comité Institucional de Gestión y Desempeño - Director de Continuidad.

Paso 2: Evaluar el evento o situación de emergencia o crisis, identificando los recursos afectados y
escenarios de interrupción o indisponibilidad (infraestructura física, infraestructura tecnológica,
sistemas de información, etc.) – Comité Institucional de Gestión y Desempeño.
Paso 3: Declarar la emergencia y activar las acciones de contingencia identificadas tanto en gestión
de riesgos, como en el BIA – Director de Continuidad.
Paso 4: Contactar centro de operación (propio o alterno) – Líder de Administración/Recuperación
Infraestructura Física (DAF) y Líder de Recuperación Tecnológica.
Paso 5: Analizar daños asociados a personas, infraestructura, sistemas de información y recursos
tecnológicos – Comité Institucional de Gestión y Desempeño.
Paso 6: Contactar entidades de emergencia (seguimiento a lesionados) y aseguradoras en caso de
afectaciones a personas, activos e infraestructura - Comité Institucional de Gestión y Desempeño.
Paso 7: El Comité podrá designar vocero(s) oficial(es) dependiendo del escenario de emergencia o
crisis, el tema a tratar y la competencia de cada proveedor de infraestructura, quienes serán los
únicos autorizados para comunicar el inicio, la evolución y terminación de la crisis, así como para
atender a los medios de comunicación. – Comité Institucional de Gestión y Desempeño.
Paso 8: Activar Plan de Recuperación de Desastres - Líder de Recuperación Tecnológica

8.5 RETORNO A LA NORMALIDAD

Una vez se haya identificado a superación de los eventos que generaron la crisis o la emergencia,
la entidad deberá ejecutar el siguiente protocolo.

Paso 1: Convocar al Comité Institucional de Gestión y Desempeño - Director de Continuidad

Paso 2: Revisar resultados de pruebas de disponibilidad de recursos físicos y tecnológicos que
soportan la operación. En caso de que el retorno sea por etapas, considere la priorización de
procedimientos críticos y recursos requeridos, identificados en Matriz BIA – Comité Institucional de
Gestión y Desempeño
Paso 3: Programar estrategia de retorno a la normalidad. – Comité Institucional de Gestión y
Desempeño.
Paso 4: Defina vocero y medio de comunicación para gestionar y comunicar el retorno a la operación
normal – Comité Institucional de Gestión y Desempeño y Asesor de Comunicaciones
Paso 5: Active protocolos de seguridad, en caso de requerirse, y todos aquellos asociados a la
gestión de seguridad y salud en el trabajo - Líder de Administración/Recuperación Infraestructura
Física (DAF).
Paso 6: Active restablecimiento de los sistemas de información según procedimiento y guías de
pruebas – Líder de Recuperación Tecnológica.

Página 21 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Paso 7: Análisis de la situación actual en retorno a la normalidad – Comité Institucional de Gestión

y Desempeño
Paso 8: Evaluar y establecer plan de mejoramiento a partir del análisis – DAF, OAPCR y DGTIC.

9. PARTE 3. SEGUIMIENTO Y MEJORA

9.1 PRUEBAS Y REVISIÓN PERIODICA DEL PLAN

En las sesiones de Comité Institucional de Desarrollo Administrativo se aprobará y monitoreará el

plan de continuidad. Las acciones preventivas se llevarán a cabo en toda la entidad según la
planificación de las acciones relacionadas con las personas (Talento Humano), con la infraestructura
y la información (DAF), con los sistemas de información, la infraestructura tecnológica y la seguridad
de la información (DGTIC) y con la actualización de riesgos (OAPCR).

En los ejercicios de la planeación institucional se definirán y aprobarán los simulacros, interrupción

del servicio, evacuación de emergencia o pruebas aleatorias de la gestión de continuidad, según los
recursos económicos con los que se cuente en cada vigencia.

9.2 ENTRENAMIENTO

El Plan de Continuidad debe contar con la participación y el compromiso del personal involucrado
en el mismo. La administración de continuidad debe asegurar que todos los funcionarios
involucrados reciban entrenamiento sobre los procedimientos a seguir en caso de incidentes o
desastres, lo cual permite tomar conciencia de la importancia del plan, ya que serán los encargados
de ponerlos en funcionamiento en caso de presentarse un evento no deseado. A los jefes de las
áreas también se les capacita y concientiza, ya que son los responsables de la correcta ejecución
de los planes.

La Oficina Asesora de Planeación y Control de Riesgos y Dirección Gestión de Tecnologías de la

información y de las Comunicaciones suministrarán los programas de capacitación, para que sean
ofrecidos a todo el personal a través del Plan Institucional de Capacitaciones (PIC) del proceso de
Gestión del Talento Humano. Dentro de la política de capacitación se contempla suministrar a todos
los funcionarios capacitación anual de Plan de Continuidad de Negocios en el proceso de inducción.

9.3 MEJORA

En el seguimiento de las acciones de contingencia ejecutadas o en los ejercicios de prueba que se

deberán efectuar al menos una vez al año, se documentarán las oportunidades de mejora y lecciones
aprendidas con el fin de mantener actualizada la documentación que soporta esta gestión de
continuidad. Estas acciones se incluirán en el plan de mejoras institucional de la respectiva vigencia.

10. ANEXO: Matriz BIA – Análisis de Impacto del Negocio

11. CONTROL DE CAMBIOS

Versión Fecha Descripción del cambio Asesor del proceso

Juan Guillermo Corredor
Contratista OAPCR
15 de agosto
01 Emisión y Publicación inicial
de 2019
Guillermo Benitez
Gestor de Operaciones DGTIC

Página 22 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02
 DIRECCIONAMIENTO Código: DIES-PN01
PROCESO
ESTRATÉGICO
Versión: 2
TITULO Plan de Continuidad de Negocio Fecha: 8/10/2020

Versión Fecha Descripción del cambio Asesor del proceso

Actualización Plan de Continuidad, articulación con Olga Marcela Vargas Valenzuela
Sistema de Gestión de Riesgos, Plan de Emergencias, Asesor OAPCR
Plan de Recuperación de Desastres. Inclusión
15 de junio metodología Análisis de Impacto de Negocio (Matriz BIA). Juan Carlos Escobar
02
2020 Definición de protocolos de gestión de crisis, protocolo de Gestor de Operaciones de la
retorno a la normalidad y periodicidad de prueba y DGTIC
seguimiento. Y se articula con proceso DIES en el marco
del nuevo mapa de procesos.

12.ELABORACIÓN, REVISIÓN Y APROBACIÓN

ELABORADO POR: REVISADO POR: APROBADO POR:

Olga Marcela Vargas Valenzuela
Asesor OAPCR
Juan Carlos Escobar
Gestor de Operaciones de la DGTIC
Fecha:
Luisa Fernanda González Mozo
Jefe OAPCR
Sergio Andrés Soler Rosas
Director DGTIC
Fecha: 25 de Julio de 2020
Comité Institucional de Gestión y
Desempeño
Acta No. 6. Sesión del 29 de julio de
2020
Junta Directiva
Acta 41. Sesión del 8 de octubre de 2020

Página 23 de 23 Una vez impreso o descargado este documento se considera copia no controlada GEDO-FR03
V02