CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

ACTIVIDAD 4

Sistema de Gestión para la Continuidad del Negocio:

Establecimiento del plan

PROGRAMA DE RESILIENCIA EMPRESARIAL

PRESENTADO POR:

ROSA CÓRDOBA ID: 220640

PAOLA RAMIREZ RODRIGUEZ ID 408497

PROFESOR FABIO ADOLFO SOLORZANO ROJAS

 2

Tabla de contenido

Contenido
Tabla de contenido ..................................................................................................................... 2
INTRODUCCIÓN ..................................................................................................................... 3
1. Objetivos ............................................................................................................................. 3
2. Alcance ............................................................................................................................... 4
3. Contexto de la organización ............................................................................................... 5
4. Liderazgo ............................................................................................................................ 5
 3
INTRODUCCIÓN

Un Sistema de Gestión de Continuidad de Negocio (SGCN o BCMS en sus siglas en inglés)

certificado bajo la norma ISO 22301 – es el estándar de mayor aceptación a nivel internacional-
ayuda a las organizaciones a prepararse para las emergencias, a gestionar las crisis y mejorar
su capacidad de recuperación operacional, asegurar la cadena de suministro y protegerse, por
ejemplo, su reputación ante una crisis.

La IPS MEIDE S.A.S. está ubicado en Bogotá D.C., actualmente cuenta con cuatro
sedes y con más de 140 trabajadores definidos entre los estratos 2, 3 y 4, distribuidos entre
especialistas de medicina interna, familiar, pediatría, ginecobstetricia, enfermería, además del
personal administrativo. De acuerdo con el perfil sociodemográfico se conoció que el 6.6.% de
quienes laboran en la empresa tienen entre 18 y 30 años y solo 3.4% corresponden a mayores
de 50 años. el 72% son del género femenino y 28% son del género masculino.

Ofrece los siguientes servicios: Medicina general, Odontología, Enfermería, Psicología,

Nutrición. Control Prenatal, Crecimiento y Desarrollo, Agudeza Visual, Planificación Familiar,
Salud Oral, Vacunación. Adulto joven, Adulto Mayor, Pediatría, entre otros.

La empresa pertenece al sector económico terciario, debido a que se trata de servicios de

salud, por lo cual, es importante indicar que la empresa está relacionada con los servicios no
productores o transformadores de bienes materiales, generando alternativas para satisfacer las
necesidades de la población identificada y objeto del presente proyecto. Es en el sector
terciario en el que se clasifican todas las actividades económicas que permiten aumentar el
bienestar de los consumidores a través de los servicios, es decir la producción de bienes
inmateriales, en este caso se dedica a brindar salud a las comunidades.

1. Objetivos
 4
1.1 Objetivo General

Implementar mecanismos, procedimientos basados en personas, infraestructura, tecnología,

procesos, y cultura organizacional que permitan asegurar dentro de los parámetros
consensuados con nuestros mandantes y clientes internos la normal operación del negocio en
situaciones extremas.

1.2 Objetivos específicos

 Establecer procedimientos específicos que respondan a interrupciones del servicio, con

el fin de proteger y recuperar las funciones críticas del negocio que se puedan ver
comprometidas por eventos naturales, o sean ocasionados por el hombre.
 Identificar las aplicaciones y las plataformas consideradas críticas para la operación del
negocio.
 Identificar al personal clave interno y externo requerido para la operación de las
actividades críticas del negocio.
 Establecer los tiempos mínimos de recuperación requeridos en los que no se vea
afectado el negocio.
 Definir la funcionalidad mínima que requiere el negocio en caso de contingencia.
 Identificar los riesgos presentes para la continuidad.
 Establecer los elementos esenciales requeridos en el plan de recuperación de desastres.
 Desarrollar procedimientos específicos y guías de operación en caso de desastre para
cada uno de los servicios críticos vitales especificados en el alcance del plan.
 Desarrollar e impartir la capacitación inicial para el correcto funcionamiento del plan.
 Establecer un plan de prueba, gestión y mantenimiento necesarias para garantizar los
objetivos del Plan

2. Alcance

El Sistema de Gestión de Continuidad de Negocio considera todas las áreas de MEIDE SAS,
desde la estrategia, incorporando el Plan de Recuperación de la Información o DRP (Data
Recovery Planning) en conjunto con los elementos mínimos requeridos para continuar con la
operación del negocio. El BCP (Business Continuity Plan, por sus siglas en inglés) incluye al
Plan de Contingencias Tecnológicas como uno de sus componentes. El alcance de ambos
planes comprende los siguientes puntos:
 5

Plan de Contingencia Tecnológica Plan de Continuidad de Negocio

a) Objetivo a) Inicio del proyecto
b) Metodología que incluye: b) Análisis y evaluación de riesgos de
 Análisis y evaluación de riesgo seguridad de la información
tecnológico
 Definición de eventos que afecten la
operación de los sistemas de
información
 Definición de procesos críticos
relacionados a los sistemas de
información
c) Procedimientos de recuperación de c) Análisis de impacto al negocio
operaciones críticas para cada evento
identificado
a) Descripción de responsabilidades, d) Medidas de prevención
funciones e identificación del
personal que ejecutará el plan
b) Medidas de prevención e) Desarrollo de estrategias

3. Contexto de la organización

3.1 Necesidades y expectativas de las partes interesadas

La empresa necesita establecer procedimientos específicos que respondan a interrupciones del

servicio, con el fin de proteger y recuperar las funciones críticas del negocio que se puedan ver
comprometidas por eventos naturales, o sean ocasionados por el hombre.

4. Liderazgo

4.1 Compromiso de la alta dirección

 La alta dirección se asegura de que sean asignadas las responsabilidades y autoridades

para las funciones pertinentes dentro de la empresa.
 6
 La alta dirección asigna la responsabilidad y la autoridad para:

a) Garantizar que el Sistema de Gestión de Continuidad de Negocio se ajusta a los

requisitos de la norma ISO 22301.
b) Informar sobre el desempeño del Sistema de Gestión de Continuidad de Negocio a

4.2 Política

Actuar diligentemente frente a una situación de crisis o emergencia, recuperando los servicios
ofrecidos a nuestros clientes en el menor tiempo posible dentro de nuestras capacidades,
resguardando prioritariamente la seguridad de las personas y la reputación corporativa, para
esto MEIDE SAS se compromete a:

Implementar, mantener y mejorar de forma continua el Sistema de Gestión de Continuidad del

Negocio (SGCN) según los requisitos establecidos en la norma ISO 22301 vigente.

Cumplir con los requisitos de nuestros clientes y de nuestro Sistema de Gestión de Continuidad
del Negocio, junto con los requisitos legales y reglamentarios, propios de nuestra actividad.

Realizar evaluaciones, de conformidad con los requisitos de la política, para identificar los
riesgos de continuidad del negocio y las necesidades asociadas.

Determinar e implementar medidas de tratamiento y estrategias de continuidad que mantengan

el riesgo de las operaciones en los niveles definidos en el apetito del riesgo.

Establecer estrategias y planes que entreguen las directrices para enfrentar incidentes
disruptivos.

Capacitar y difundir los diferentes Planes y Estrategias de Continuidad del Negocio a los
comités que lo integran y a los colaboradores de la compañía, según su necesidad de conocer
de acuerdo a sus responsabilidades.

Realizar las pruebas necesarias de los procedimientos establecidos en los Planes de

Continuidad, considerando las principales áreas, proveedores y servicios críticos involucrados,
con el fin de validar su aplicabilidad y utilizar un enfoque basado en la mejora continua.

Revisar los planes de Continuidad del Negocio al menos una vez al año y cuando existan
cambios significativos en las plataformas tecnológicas, en los procesos y en los recursos,
llevando a cabo las actualizaciones y cambios que sean necesarios en el momento oportuno.
 7

4.3 Roles y responsabilidades

 Comité de Crisis

➔ Evaluar la contingencia detectada y tomar, en consecuencia, la decisión final de activar

o no un determinado procedimiento de contingencia o una serie de ellos.

➔ Evaluar el curso de la contingencia a fin de establecer nuevas necesidades de activación.

➔ Evaluar el curso de la contingencia a fin de establecer la desactivación de un

determinado procedimiento o un conjunto de ellos.

➔ Evaluar el curso de la contingencia y tomar la decisión sobre la finalización de la misma

con la posterior notificación sobre la vuelta a la “normalidad”.

➔ Mantener una fluida comunicación con los coordinadores de Recuperación del Negocio
a fin de que puedan mantener informado al comité y que puedan recibir las
instrucciones para cada caso.

 Líder del equipo del Plan de Continuidad

➔ Discernir con criterio de negocio y operación la crisis en cuestión y es el responsable

de activar el Plan de Contingencia.

➔ Contar con la autoridad y el conocimiento necesario para administrar la crisis.

➔ Definir el responsable de ejecución del backup y hacer seguimiento de su efectividad.

➔ Asegurarse de que se encuentren actualizados los contenidos del plan.

➔ Informar al Comité de Crisis sobre nuevas necesidades asociadas al plan.

➔ Identificar nuevos escenarios de riesgo potenciales.

➔ Coordinar las pruebas del plan de contingencias.

Miembros del equipo de Continuidad

 8
➔ Mantener fluida comunicación con el comité de crisis informando el curso de la
contingencia.

➔ Mantener fluida comunicación con el comité de crisis para recibir instrucciones y

difundirlas a las líneas.

➔ Asegurarse de que la restauración se lleve a cabo en forma efectiva y en función a las

necesidades de información de las diferentes partes.

➔ Informar y monitorear necesidades especiales y/o desvíos.

➔ Asegurarse de que el mapa de proceso se ejecuta conforme a lo establecido en el

presente documento.

5. Apoyo y comunicación

Define los mecanismos a utilizar para comunicar a las partes interesadas la ocurrencia de
eventos disruptivos en función del servicio, su criticidad e impacto a otros servicios. La
empresa debe determinar todas las necesidades de comunicación interna y externa relevante
para el Sistema de Gestión de Continuidad de Negocio incluyendo:

a) En lo que se comunicará.

b) Cuando comunicarse.

c) Con quien comunicarse.

La empresa debe establecer, implantar y mantener procedimiento para:

• La comunicación interna entre las partes interesadas y los empleados dentro de la empresa.

• La comunicación externa con los clientes, las entidades asociadas, la comunidad local y otras
partes interesadas.

• Recibir, documentar y responder a las comunicaciones de las partes interesadas.

• Recibir, documentar y responder a las comunicaciones de las partes interesadas.

• Adaptar e integrar un sistema nacional o regional que necesita asesoramiento o equivale a la

planificación del uso operativo.
 9
• Garantizar la disponibilidad de los medios de comunicaciones durante un incidente
perturbador.

• Facilitar la comunicación estructurada con las autoridades pertinentes y garantizar que las
organizaciones respondan satisfactoriamente.

• Utilizar los controles de las capacidades de comunicación destinados a ser utilizados durante
la interrupción de la normalidad.
 10

REFERENCIAS

Libro guía. Chiavenato, I. (2011). Planeación estratégica. Fundamentos y aplicaciones (2.a ed.).
México, D. F.: McGraw Hill.

Arroyo, G., Prieto, M., Prieto, A. y López, M. T (2014). DOCS y análisis funcional, un
diagnóstico integral del ITQ. Sciences de Gestion, 104, 25-41.