Plan de Contingencia

CENTRO MÉDICO CRECER Código: OT
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
PLA DE CONTINGENCIA Emisión:
SISTEMAS DE NFORMACIÓN Página: 1 de 54
PLAN DE
CONTINGENCIA
Sistema de
Información
La última versión de cada documento será la única válida para su utilización y estará disponible en el sistemaFecha
de
información institucional Investigue antes de sacar copias de este documento porque corre el riesgo de tener una versión
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Tabla de Contenido
Presentación....................................................................................................................... 3
Objetivos............................................................................................................................. 3
Alcance............................................................................................................................... 3
Referencias Normativas......................................................................................................3
Desarrollo del Documento...................................................................................................3
Recursos............................................................................................................................. 3
Financieros...................................................................................................................... 3
Talento humano............................................................................................................... 3
Equipos biomédicos.........................................................................................................3
Medicamentos, dispositivos e insumos............................................................................3
Informáticos..................................................................................................................... 3
Glosario de términos........................................................................................................... 3
Anexos................................................................................................................................ 3
Procedimientos o Protocolos asociados..............................................................................3
Formatos............................................................................................................................. 3
La última versión de cada documento será la única válida para su utilización y estará disponible en el sistema de
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Presentación
El plan de contingencia de Sistemas de información del Centro Médico Crecer Ltda., es

un documento que establece los lineamientos de respuesta para atender en de manera
oportuna, eficiente y eficaz, la indisponibilidad del servicio de las tecnologías de la
información ocasionadas por daños en equipos de cómputo, desastres, eventos naturales
u otros, a causa de algún incidente tanto interno como externo a tecnologías de
información. Durante el desarrollo del presente Plan, se presentan las actividades propias
de gestión de contingencia que debe considerar todas las sedes de Centro Médico
Crecer Ltda., cubriendo así los incidentes que afecten el sistema de información. Así
mismos aspectos conceptuales que permitan un mayor panorama acerca del
entendimiento de las contingencias y que servirán como marco de referencia, para la
elaboración de las políticas, normas y procedimientos de contingencia.
La elaboración del plan de contingencia implica un importante avance a la hora de

superar situaciones de interrupción de las actividades y servicios prestados por Centro
Médico Crecer Ltda. Es indispensable para el éxito del plan de contingencia, contar con
personal capacitado y comprometido con la clínica.
La información es uno de los más importantes activos que posee la Clínica la cual se
genera en sus actividades y diferentes ámbitos, consciente de las necesidades que
surgen en la institución se adoptan medidas de seguridad para la información y así
mismo estar preparados para afrontar contingencias y diversos desastres, como
por ejemplo; virus informáticos, desastres naturales, inundaciones, personas mal
intencionadas, cortes del fluido eléctrico, instalaciones eléctricas y de transmisión de
datos implementadas, usuarios con escaso al conocimiento informático, escaso personal
profesional y técnico, etc. por lo que el riesgo de sufrir situaciones críticas es muy alto.
El Área de Sistemas, tiene como propósito proteger la información, asegurando su

procesamiento y desarrollo basándose en los objetivos institucionales trazados en el Plan
Estratégico Institucional. Presentamos el Plan de Contingencia de Sistemas de
Información, el cual guarda relación con el marco del Plan Operativo Institucional (POI) y
el Plan Operativo Informático, diseñado para el desarrollo y ejecución de los objetivos de
cada año, la ejecución del Plan de Contingencias permitirá prevenir y menguar cualquier
problema y/o desastre relacionado con la información, software y hardware, así como con
los suministros informáticos.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Actualmente, los profesionales y técnicos de la informática tienen como una de sus

principales actividades y ocupaciones la seguridad de la información, lo cual constituye
una base y respaldo a las funciones institucionales realizadas a través de los años. En la
actualidad los Sistemas de Información facilitan las tareas que se desarrollan en la
ejecución de los diferentes procesos administrativos, logísticos, financieros, de
planeamiento y de servicios.
El personal de TI/SI, responsables del servicio informático del Centro Médico Crecer Ltda.,
están obligados a explicar con lenguaje entendible a los directivos y/o personal del Centro
Médico Crecer Ltda. las posibles consecuencias que la seguridad insuficiente o inexistente
que se pueda acarrear; de esa manera se pone a consideración las medidas de seguridad
inmediatas a mediano plazo, que han de tomarse en cuenta para prevenir los desastres
que pueda provocar el colapso de los sistemas informáticos.
Para evitar riesgos de pérdida de información o riesgos de suspensión de servicios por
fallas técnicas. El objetivo es de garantizar la prestación de servicios a todos los usuarios
de la clínica, para ello, el área de sistemas propone la implementación de un modelo de
seguridad y privacidad de la Información teniendo como base la norma ISO 27001:2013,
dentro del cual se deben desarrollar acciones que propendan por la seguridad de los
datos y los recursos de la plataforma tecnológica sobre la cual se prestan los servicios del
Centro Médico Crecer Ltda., es así que dentro de estas acciones se encuentran el de
estar preparados para la atención de contingencias que puedan afectar el servicio
ofrecido desde el área de sistemas. En aras del mejoramiento de la calidad se apoyan en
el Sistemas de Información que se encuentra en el Centro Médico Crecer Ltda.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Objetivos
General:
Garantizar la continuidad en la prestación del servicio en para nuestros pacientes, en el

Centro Médico Crecer Ltda., para tener una oportuna recuperación y puesta en operación
de los sistemas de información que apoyan el cumplimiento de la misión de la entidad y
los procesos asistenciales críticos ante la presencia de eventos que puedan alterar el
normal funcionamiento de los sistemas de información considerados como críticos en la
Clínica, restableciendo el servicio en el menor tiempo posible, a través de la puesta en
marcha de procedimientos, actividades y elementos requeridos para afrontar la
contingencia.
Específicos:
 Identificar las aplicaciones y las plataformas que son las que soportan
electrónicamente la operación asistencial de la clínica.
 Minimizar la posible pérdida de información y operatividad que se genere por la
presencia de una falla técnica o humana en la plataforma tecnológica.
 Identificar y mitigar los riesgos a los que se encuentra expuesta la plataforma
tecnológica de la Clínica.
 Mantener la prestación del servicio a los usuarios, en el nivel aceptable.
 Restablecer el funcionamiento de los sistemas de información en el menor tiempo
posible dependiendo de la anomalía que se presente.
 Contar con documentación práctica y actualizada que garantice a la Clínica la
continuidad de las operaciones de los sistemas informáticos sin sufrir
paralizaciones o pérdidas relevantes.
 Establecer las estrategias adecuadas para asegurar la continuidad de los
servicios informáticos en caso de interrupción y que ésta no exceda las 2
horas.
 Contar con personal debidamente capacitado y organizado para afrontar
adecuadamente las contingencias que puedan presentarse en las actividades a
desarrollar.
 Establecer un plan de prueba, gestión y mantenimiento necesarias para
garantizar los objetivos del Plan que garanticen el éxito de los procesos y
procedimientos contenidos en el plan de contingencias, aumentando niveles
de confiabilidad y disponibilidad de los sistemas y servicios informáticos del
Centro Médico Crecer Ltda.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Alcance
El Plan de Contingencia de Sistemas de Información para Centro Médico Crecer

Ltda., cubre la infraestructura de telecomunicaciones, software y sistemas de
información; también se da tratamiento y solución a los riesgos, relacionados
con la operación de los procesos de Tecnologías de la Información y las
Comunicaciones; las actividades, están relacionados con las actividades
establecidas para cada uno de los procedimientos de TI.
Este plan abarca las etapas de notificación de la indisponibilidad del servicio hasta
su restablecimiento, evaluación y gestión.
La seguridad de la información debe estar enmarcada con los siguientes
principios:
Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas
personas que estén autorizadas para tener acceso a ella.
Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos
de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la
información y a los recursos relacionados con la misma, toda vez que lo requieran.
Autenticidad: Busca asegurar la validez de la información en tiempo, forma y
distribución. Asimismo, se garantiza el origen de la información, validando el
emisor para evitar suplantación de identidades.
Auditabilidad: Define que todos los eventos de un sistema deben poder ser
registrados para su control posterior.
Protección a la duplicación: Consiste en asegurar que una transacción sólo se
realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe
una transacción para luego reproducirla, con el objeto de simular múltiples
peticiones del mismo remitente original.
No repudio: Se refiere a evitar que la clinica haya enviado o recibido información
alegue ante terceros que no la envió o recibió.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Legalidad: Referido al cumplimiento de las leyes, normas, reglamentaciones o

disposiciones a las que está sujeto la Clínica.
Confiabilidad de la Información: Es decir, que la información generada sea adecuada para
sustentar la toma de decisiones y la ejecución de las misiones y funciones.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Referencias Normativas
Norma NTC-ISO 27001, Seguridad de la Información.
Decreto 2157 de 2017 - por medio del cual se adoptan directrices generales para
la elaboración del plan de gestión del riesgo de desastres de las entidades
públicas y privadas en el marco del artículo 42 de la ley 1523 de 2012.
Ley 46 de 1988 - Se crea y organiza el Sistema Nacional para la Prevención y

Atención de Desastres, artículo 3 numeral d) Los sistemas integrados de
información y comunicación a nivel nacional, regional y local.
Decreto Ley 919 de 1989, “Por el cual se organiza el Sistema Nacional para la
Prevención y Atención de Desastres y se dictan otras disposiciones”, artículo 3
numeral d) Los sistemas integrados de información y comunicación a nivel
nacional, regional y local.
Guía Técnica Colombiana 202 de 2006, Sistema de Gestión de Continuidad del

Negocio.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la

Información permite a las organizaciones la evaluación del riesgo y la aplicación de los
controles necesarios para mitigarlos o eliminarlos.
Ley Estatutaria 15 81 de 2012 y Reglamentada Parcialmente por el Decreto Nacional

1377 De 2013: Por la cual se dictan disposiciones generales para la protección de datos
personales.
Decreto 2693 de 2012: Lineamientos generales de la Estrategia de Gobierno en línea de

la República de Colombia que lidera el Ministerio de las Tecnologías de Información y las
Comunicaciones, se reglamentan parcialmente las Leyes 1341 de 2009 y 1450 de 2011, y
se dictan otras disposiciones.
Decreto 2578 de 2012: Por medio del cual se reglamenta el Sistema Nacional de
Archivos. Incluye “El deber de entregar inventario de los documentos de archivo a cargo
del servidor público, se circunscribe tanto a los documentos físicos en archivos
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
tradicionales, como a los documentos electrónicos que se encuentren en equipos de

cómputo, sistemas de información, medios portátiles” entre otras disposiciones.
Decreto 2609 de 2012: Por medio del cual se reglamenta el Título V de la Ley General de
Archivo del año 2000. Incluye aspectos que se deben considerar para la adecuada
gestión de los documentos electrónicos
Ley 1437 de 2011: Por la cual se expide el Código de Procedimiento Administrativo y de

lo Contencioso Administrativo.
Ley 1273 DE 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo
bien tutelado denominado “de la protección de la información y los datos” y se preservan
integralmente los sistemas que utilicen las tecnologías de la información y las
comunicaciones, entre otras disposiciones.
Ley 1341 DE 2009: Por medio de la cual se definen principios y conceptos sobre la
sociedad de la información y la organización de las tecnologías de la información y
comunicaciones - TIC, se crea la Agencia Nacional de Espectro y se dictan otras
disposiciones.
Ley 1150 DE 2007: Por medio de la cual se introducen medidas para la eficiencia y la
transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la
contratación con Recursos Públicos.
BS 7799-3:2006: Proporciona una guía para soportar los requisitos establecidos por
ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de
análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad
de la información (SGSI).
NTC 27001:2006: Sistema de Gestión de Seguridad de la Información (SGSI). En 2005,

con más de 1700 empresas certificadas en BS7799-2, ISO publicó este esquema como
estándar ISO 27001, al tiempo que se revisó y actualizó ISO 17799 y esta última norma
se denomina ISO 27002:2005 el 1 de julio de 2007, manteniendo el contenido, así como
el año de publicación formal de revisión.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
ISO 27002:2005: Esta norma proporciona recomendaciones de las mejores prácticas en

la gestión de la seguridad de la información a todos los interesados y responsables en
iniciar e implantar o mantener sistemas de gestión de la seguridad de la información. En el
siguiente esquema se pretende abordar los principales contenidos de la norma
ISO/IEC 27001:2005: Es la evolución certificable del código de buenas prácticas ISO

17799. Define cómo organizar la seguridad de la información en cualquier tipo de
organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible
afirmar que esta norma constituye la base para la gestión de la seguridad de la
información
Ley 962 DE 2005: Por la cual se dictan disposiciones sobre racionalización de trámites y
procedimientos administrativos de los organismos y entidades del Estado y de los
particulares que ejercen funciones públicas o prestan servicios públicos.
Modelo Estándar de Control Interno MECI 1000:2005: Proporciona una estructura para el
control de la estrategia, la gestión y la evaluación en las entidades, con el fin de
orientarlas hacia el cumplimiento de los objetivos institucionales y la contribución de estos
a los fines esenciales del Estado Colombiano.
NTCGP1000:2004: Esta Norma establece los requisitos para la implementación de un

sistema de gestión de la calidad aplicable a la rama ejecutiva del poder público y otras
entidades prestadoras de servicio.
ISO/IEC TR 18044:2004: Ofrece asesoramiento y orientación sobre la seguridad de la
información de gestión de incidencias para los administradores de seguridad de la
información y de los administradores de sistemas de información.
Ley 599 DE 2000: Por la cual se expide el Código Penal. Se crea el bien jurídico de los
derechos de autor e incorpora algunas conductas relacionadas indirectamente con los
delitos informáticos como el ofrecimiento, venta o compra de instrumento apto para
interceptar la comunicación privada entre personas, y manifiesta que el acceso abusivo a
un sistema informático protegido con medida de seguridad o contra la voluntad de quien
tiene derecho a excluirlo, incurre en multa.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
1. MANEJO DE CONTINGENCIA
¿Qué es un sistema de información?
Un sistema de información es un conjunto de elementos orientados al tratamiento

y administración de salud e información, organizados y listos para su uso posterior,
generados para cubrir una necesidad o un objetivo. Dichos elementos formarán parte
de alguna de las siguientes categorías: Personas; Datos;
Actividades o procesos; Recursos materiales en general (generalmente recursos
informáticos y de comunicación, aunque no necesariamente).
Un Sistema Informático utiliza ordenadores para almacenar los datos de una

organización y ponerlos a disposición de nuestro personal. Pueden ser tan simples
como en el que una persona tiene un equipo de cómputo y procesa su información, los
datos pueden ser registros simples como el proceso de facturar diariamente, aquí se
produce una entrada de información a consecuencia de esta actividad de facturar.
Sin embargo, la mayor parte de los sistemas son más complejos que el enunciado
anteriormente. Normalmente una organización tiene más de un sistema informático y
redes de computadoras para soportar las diferentes funciones de la organización, ya
sean servicios, recursos humanos, contabilidad, inventario, etc.
Los sistemas de información tienen muchas cosas en común. La mayoría de ellos

están formados por personas, equipos y procedimientos. Al conjugar una serie de
elementos como hombres y computadoras se hace imprescindible tomar medidas
que nos permitan una continuidad en la operatividad de los sistemas para no ver
afectados los objetivos de estas y no perder la inversión de costos, tiempo y
beneficio.
¿Qué es un Plan de Contingencia?
Un Plan de Contingencias es una herramienta estratégica planificada con una

serie de procedimientos que nos facilitan u orientan a tener una solución
alternativa y nos permite restituir rápidamente los servicios de la organización ante
la eventualidad que pueda paralizar los servicios ya sea de forma parcial o total,
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
es decir, un plan que le permite a la clínica, seguir operando

aunque sea de forma limitada.
Características principales de un Plan de Contingencia
Amplio. Porque debe considerar todas las actividades que están sistematizadas de la
clínica.
Abierto en el tiempo. Para dar respuesta permanente a cualquier tipo de incidencias.
Participativo. Porque se pretende que intervenga todo el personal de TI y personal

que este implícito de una u otra forma en el servicio.
Eminentemente práctico. Ya que fija objetivos concretos y establece los medios y los
plazos.
La vigencia del plan será hasta que los procesos a los que suple estén nuevamente
operativos.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
2. DESARROLLO DE LAS FASES METODOLÓGICAS, ACTIVIDADES,

ESTRATÉGIAS, PROGRAMAS Y POLÍTICAS
2.1 MARCO METODOLÓGICO
Este plan de contingencia puede prevenir fallas o accidentes en sus operaciones

diarias, permitiéndoles continuar de manera activa, en tanto a la producción de sus
activos de cómputo y servicios, en el caso de que algún componente presente
cualquier tipo de problemas que condicione el correcto funcionamiento de sus equipos
tecnológicos, aplicaciones informáticas y otros sistemas críticos, lo cual indica que el
área de Tecnología de la Información debe poner en marcha el mencionado plan para la
recuperación de la operación de la Clínica.
Debemos tener presente que mucho dependerá de la infraestructura de la Clínica y de

los servicios que ésta ofrezca para determinar un modelo de desarrollo del plan, no
existe un modelo único para todos, lo que se intenta es brindar los puntos más
importantes a tener en cuenta.
La metodología empleada para el desarrollo y aplicación del plan de contingencias de

los sistemas de información ha sido desarrollada en base a la experiencia lograda en el
desarrollo de planes de contingencia de años anteriores y experiencias que ayudaron a
construir el Plan de Contingencia para Centro Médico Crecer Ltda.
La presente metodología se podría resumir en ocho fases de la siguiente manera:

Fase 1 Planificación: preparación y aprobación de esfuerzos y costos.
Fase 2 Identificación de riesgos: funciones y flujos del proceso de la Clínica.
Fase 3 Identificación de soluciones: evaluación de riesgos de fallas o interrupciones.
Fase 4 Estrategias: otras opciones, soluciones alternativas, procedimientos manuales.
Fase 5 Documentación del proceso: creación de un manual del proceso.
Fase 6 Realización de pruebas: selección de casos, soluciones que podrían funcionar.
Fase 7 Implementación: creación de soluciones requeridas, documentación de casos.
Fase 8 Monitoreo: probar nuevas soluciones o validar los casos.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
2.2 FASE 1 – PLANIFICACION
La fase de planificación es la etapa donde se define y prepara el esfuerzo de

planificación de contingencia/continuidad los servicios informáticos.
2.2.1. DIAGNÓSTICO
Efectuada nuestra revisión de la administración de riesgos de Tecnologías de

Información de la Clínica, consideramos que debe actualizarse el Plan de
Contingencias. Si bien hemos observado las dificultades que hemos presentado, en la
prestación de los servicios de TI, y de acuerdo con las exigencias de la norma,
procedimientos y controles que cubren algunos aspectos de la seguridad de la
información, que carece en general de una metodología, guía o marco de trabajo que
nos ayude a la identificación de riesgos y determinación de controles para mitigar los
mismos.
Dentro de los distintos aspectos a considerar en la seguridad, es necesario

elaborar Políticas de Seguridad de la Información y una Clasificación de
Seguridad de los Activos de Información de la Clínica. Cabe
mencionar que se ha verificado la existencia de controles, en el caso de la
seguridad lógica, sobre los accesos a los sistemas de información, así como
procedimientos técnicos establecidos para el otorgamiento de dichos
accesos.
Los controles no obedecen a una definición previa de una

Política de Seguridad ni de una evaluación de riesgos de seguridad de la
información a nivel de toda la Clínica. Los controles establecidos a la
fecha son productos de evaluaciones particulares efectuadas por las áreas
involucradas, para garantizar la continuidad, en las operaciones de los usuarios.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
2.2.2. ORGANIGRAMA
2.2.3 APLICATIVOS DE LA CLINICA

A continuación, se identifican las diferentes aplicaciones que operan en Centro Médico
Crecer Ltda. Que son los siguientes:
NOMBRE DEL RESPONSABLE

N° FUNCIONES DEL SISTEMA
SISTEMA Y/O FUNCIONAL
MÓDULO
Dinámica
01 Sistema de la Clínica donde se soporta
Gerencial
toda la operación tanto administrativa Todas las Unidades
Hospitalaria Funcionales
como Asistencial.
(DGH)
Sistema de Sistema de información de Calidad
02
Calidad
donde se registra todos los Documentos Todas las Unidades
vigentes de Calidad Funcionales
HYPERSOFT
03 Sistema de Gestión Documental de la
clínica Es una herramienta que permite
administrar el flujo de documentos de Todas las Unidades
todo tipo en una organización, además Funcionales
nos facilita la búsqueda o seguimiento
del estado y ubicaciones recorridas por
un documento como parte del trámite
administrativo
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
CRONOS Todas las Unidades

04 Sistema de Control de Acceso, se
Funcionales
registra ingresos y salida de turnos
laborado de todo el personal
PLATAFORMA
05 Sistema de Información educativo donde Todas las Unidades
EDUCATIVA Funcionales
se realizan los cursos de aprendizaje de
alto interés para el personal
administrativo y asistencial
GOURMET
06 Sistema de Información donde se solicita Todas las Unidades
Funcionales
los alimentos lo utilizan los
colaboradores y para pacientes
Todas las Unidades
07 Es un cliente para Mensajería
SPARK Funcionales
Instantánea, multiplataforma optimizado
para empresas y organizaciones.
Officces 365 Todas las Unidades
08 Servicio de Correo Institucional
Funcionales
09 Sistema de gestión de incidencias donde
QS SYSTEM las unidades reportan los problemas Todas las Unidades
presentados ya sea de Sistemas, Funcionales
Infraestructura o Equipos Biomédicos.
Página Web Todas las Unidades
10 Se informa sobre los servicios de la
Funcionales
clínica y la asignación de citas medicas
INTRANET Todas las Unidades
11 Sistema de información institucional
Funcionales
donde se publican los eventos
Hiruko Todas las Unidades
12 Sistema de Información de imágenes
Funcionales
diagnósticas y RX
ENTERPRISE Todas las Unidades
13 Sistema de Información de Laboratorio
Funcionales
INTEGRASOFT
14 Nuevo sistema de control de acceso de Todas las Unidades
Funcionales
entrada y salidas del personal
VITRAYA
15 Nuevo aplicativo para capacitaciones, Todas las Unidades
Funcionales
actas de reunión
PAGINA WEB
16
CRECER
MIPRES
18
RUAF
19
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
PLATAFORMA
20
COORPORATIVA
CLARO
PISIS
21
CORREO
22
INSTITUCIONAL
HABLAME
23
ENVIO DE SMAS
MASIVOS
LLAMADOS DE
24
ENFERMERIA
SOPHOS
25
CENTRAL
2.3 IDENTIFICACIÓN Y PRIORIZACIÓN DE RIESGOS
DEFINICIONES
Riesgo: Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos
institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.
Amenaza: Posible peligro que una situación, un objeto o una circunstancia específica
puede conllevar para la vida, de uno mismo o de terceros o de un sistema. Es un peligro
que está latente, que todavía no se ha desencadenado pero que sirve como aviso para
prevenir o para presentar la posibilidad de que sí lo haga. Posibilidad de ocurrencia de un
suceso.
Vulnerabilidad: Es el grado de pérdida de un elemento o grupo de elementos. Nivel de ser
susceptible a sufrir un daño o lesión por la ocurrencia de un peligro o amenaza.
Plan de Contingencias: Parte del plan de manejo de riesgos que contiene las acciones a
ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los
objetivos de la Clínica.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
2.3.1 DESCRIPCIÓN DE LOS RIESGOS EXTERNOS

Incumplimiento al objeto contractual por parte de los contratistas. - (R2).
Riesgo externo que consiste en el atraso que puede presentar la ejecución o trasgresión
del clausulado de los contratos de actualización, modificación, mantenimiento y soporte
del hardware, software por deficiencias en el desarrollo precontractual y/o por deficiencias
en la supervisión de los contratos que involucren a los sistemas de información, que al
presentarse genera inoperancia de los sistemas de información o mala imagen de la
entidad por aplicativos desactualizados. Tipo de riesgo: Cumplimiento.
Caída o interrupción del sistema eléctrico - (R9).

Riesgo externo. Corresponde al corte del servicio de energía eléctrica en la Clínica por
parte de falla externa en el proveedor del servicio, corte eléctrico que genera interrupción
del funcionamiento de los equipos donde se alojan los aplicativos críticos de la entidad,
que puede dejar los servicios y aplicativos inoperantes. Tipo de riesgo: Tecnología.
Caída del canal de internet - (R11)

Riesgo externo. Consiste en las fallas técnicas por parte del proveedor del servicio de
internet en la Clínica, lo que ocasionaría suspensión de los servicios de correo y de los
aplicativos críticos de la entidad. Tipo de riesgo: Tecnológico.
Caída del Servicio Telefónico - (R13)

Riesgo externo correspondiente a la suspensión del servicio por daños o fallas en el
software o hardware de telefonía IP de telefonía en la Clínica, que de presentarse genera
la ausencia de comunicación telefónica en la clínica. Tipo de riesgo: Tecnológico.
Caída de servicios por virus informático - (R14)

Riesgo externo. Es el riesgo de infección de los equipos servidores y de cómputo que
puede presentarse en la entidad por mala configuración del sistema antivirus o por
ausencia de política de seguridad lo que genera la suspensión total o parcial del
funcionamiento o de la prestación de un servicio de red, inoperancia o inestabilidad de los
sistemas. Tipo de riesgo: Tecnológico.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Suspensión del servicio por sismo, inundación o incendio - (R15)

Riesgo externo. Hace referencia al riesgo que se corre para que se presente un evento de
sismo, inundación o incendio que afecte la infraestructura tecnológica de los sistemas de
información críticos de la Clínica generando suspensión total o parcial del funcionamiento
o de la prestación de un servicio de red, inoperancia de los sistemas o inestabilidad de
estos. Tipo de riesgo: Operativo.
2.3.2 DESCRIPCIÓN DE LOS RIESGOS INTERNOS
Retrasos en el Proceso precontractual de la entidad en contratos relacionados con

la infraestructura tecnológica de la entidad. - (R3).
Riesgo interno que corresponde a retrasos en el proceso precontractual de la clínica en
contratos relacionados con la infraestructura tecnológica por deficiente planeación del
proceso de contratación, falta de personal capacitado para realizar los estudios previos de
contratación. Lo que puede ocasionar Inoperancia de los sistemas de información,
desactualización de los sistemas de información. Tipo de riesgo: Operativo.
Contratación sin asistencia técnica, Soluciones Inadecuadas o Incompatibilidad

frente a los Requerimientos y Recursos Disponibles - (R4)
Riesgo interno que se relaciona con deficientes procesos de análisis, evaluación,
planeación y toma de decisiones sobre la elección de las alternativas tecnológicas a ser
implementadas y con el probable desconocimiento de las características y
especificaciones técnicas de los recursos disponibles y las necesarias en cada una de las
soluciones elegidas. Al materializarse el riesgo la infraestructura tecnológica puede
generar inoperancia de los sistemas de información. Tipo de riesgo: Operativo.
Pérdida de información considerada confidencial o de reserva por robo, alteración o

extracción. - (R5)
Riesgo interno que tiene baja probabilidad de ocurrencia y consiste en el robo, alteración
o extracción de la información que es considerada confidencial o clasificada como
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
reservada por deficiencia en las políticas de seguridad o Configuración ineficiente del

cortafuegos de la clínica. Al materializarse, el impacto es negativo ya que puede
ocasionar demandas y sanciones, mala imagen institucional. Tipo de riesgo: Tecnología.
Falla técnica en equipos servidores, de escritorio o de comunicaciones. - (R6).
Riesgo interno que corresponde al daño físico o lógico de un equipo servidor, de escritorio
o de comunicaciones que afecta el funcionamiento de un sistema de información crítico o
de servicio por falta de mantenimiento preventivo a los equipos o por mal uso de los
equipos por parte de los usuarios que hace que el servicio quede inoperante o Inestable.
Tipo de riesgo: Tecnológico.
Falla técnica en sistemas de información - (R7).

Riesgo interno, corresponde al riesgo de presentarse errores de lógica en programación o
incompatibilidad entre software que afectan a los sistemas de información que genera
Inoperancia o inestabilidad de los sistemas de información. Tipo de riesgo: Tecnológico.
Ausencia de personal de la Tecnologías de la Información que brindan soporte y
mantenimiento a los a los sistemas de información. - (R8).
Riesgo interno. Corresponde a la falta o inasistencia en un momento dado, de un
ingeniero o técnico de TIC que realiza actividades de soporte a usuarios o de
administración técnica sobre un sistema de información crítico de la Clínica por
enfermedad, muerte o incapacidad de los funcionarios responsable o demoras en la
asignación de funcionarios a la TIC, lo que genera inoperancia o inestabilidad de los
sistemas de información. Tipo de Riesgo: Operativo.
Mal uso de hardware y/o software por parte de los funcionarios de la Clínica (R10).
Riesgo interno. Consiste en el riesgo que corre la Clínica por un uso inadecuado de los
equipos de cómputo, software y/o sistemas de información por parte de los funcionarios
por deficiencias en el conocimiento y uso de las herramientas tecnológicas o por uso mal
intencionado de los mismos lo que puede dejar generar interrupción del funcionamiento
de los equipos donde se alojan los sistemas de información críticos de la entidad, que
puede dejar los servicios y aplicativos inoperantes. Tipo de riesgo: Tecnología.
Calentamiento del centro de cómputo - (R12).

Riesgo interno que consiste en el aumento de temperatura dentro del centro de cómputo y
falta de ventilación, por deficiencia del sistema de ventilación o ausencia de un sistema de
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
ventilación de precisión acorde a las necesidades de la entidad lo que puede generar

recalentamiento de los equipos servidores, de comunicaciones y telefónicos dejándolos
inoperantes junto con los servicios que se encuentran alojados en ellos. Tipo de riesgo:
Tecnología.
2.4 ANÁLISIS Y CLASIFICACIÓN DE LOS RIESGOS
Los riesgos de seguridad de la información de la Clínica se clasifican de acuerdo con la

metodología de riesgos definida por el Departamento de Sistemas y que fue adoptada en
la clínica en el Procedimiento para elaborar y realizar monitoreo y seguimiento al mapa de
riesgos institucional.
2.4.1 CALIFICACIÓN DEL RIESGO
Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que

puede causar la materialización del riesgo. La primera representa el número de veces que
el riesgo se ha presentado en un determinado tiempo o puede presentarse y la segunda
se refiere a la magnitud de sus efectos.
Probabilidad: Posibilidad de ocurrencia del riesgo. Se puede medir con criterios de:
1. Frecuencia, si se ha materializado.
2. Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden
propiciar el riesgo.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Probabilidad Descripción Frecuencia Valor

Casi seguro El evento probablemente ocurriría Más de una vez al año 5
en la mayoría de los casos
Probable El evento probablemente ocurriría Al menos una vez en el último 4
en la mayoría de los casos año
Posible El evento podría ocurrir en algún Al menos una vez en los 3
momento últimos dos años
Improbable El evento podría ocurrir en algún Al menos una vez en los 2
momento últimos cinco años
Raro El evento podría ocurrir solo en No se ha presentado en los 1
circunstancias excepcionales últimos cinco (5) años
Impacto: Consecuencias que puede ocasionar a la organización la materialización del

riesgo.
Impacto Descripción Valor

Catastrófico Si el hecho llegara a presentarse, tendría desastrosas 5
consecuencias o efectos sobre la Clínica:
- Pérdida de recursos secundarios.
- Disminución del rendimiento de los procesos.
- Pérdida de información interna no publicada.
- Suspensión de los sistemas críticos.
- Pérdida de información confidencial estratégica.
- Deterioro de la imagen institucional.
Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o 4
efectos sobre la entidad.
- Investigaciones
- Sanciones
- Demandas
Moderado Si el hecho llegara a presentarse, tendría medianas 3
consecuencias o efectos sobre la Clínica.
Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto 2
sobre la Clínica.
Insignificante Si el hecho llegará a presentarse tendría consecuencias o 1
efectos mínimos sobre la Clínica:
- Pérdida de recursos críticos pero que cuentan con elemento de
respaldo.
- Caída notable del rendimiento de los procesos del negocio de
la Clínica.
- Pérdida de información confidencial pero no considerada
estratégica.
- Suspensión temporal del servicio.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los
criterios definidos para establecer el grado de exposición de la Clínica al riesgo; de esta
forma es posible distinguir entre los riesgos EXTREMOS, ALTOS, MODERADOS, BAJOS
y fijar las prioridades de las acciones requeridas para su tratamiento.
(R): Corresponde al número del riesgo dentro de las matrices de análisis y evaluación de
los riesgos.
2.4.2 MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS
IMPACTO
PROBABILIDAD
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
Casi Seguro (5) A A E E E
Probable (4) M A A E E
Posible (3) B M A E E
Improbable (2) B B M A E
Raro (1) B B M A A
B: Zona de riesgo baja: Asumir el riesgo

M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgos extrema: Reducir el riesgo, evitar, compartir o transferir
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Probabilidad * impacto
Zona de
(combinaciones Tratamiento
Riesgo
PROBIMPAC)
Extrema 35-43-44-45-52-53-54-55 Reducir el riesgo, evitar, compartir o transferir
Alta 15-25-24-34-33-42-41-51 Reducir el riesgo, evitar, compartir o transferir
Moderada 31-32-23-14 Asumir el riesgo, reducir el riesgo
Baja 21-22-11-12-13 Asumir el riesgo
Los riesgos que se tendrán en cuenta en este Plan de Contingencias de TI son los
catalogados como EXTREMOS Y ALTOS, es decir aquellos que afectan en forma drástica
la imagen institucional, la pérdida de información confidencial estratégica, la suspensión
parcial o total del funcionamiento del hardware, software y/o sistemas de información de la
Clínica considerados como críticos; esta valoración se da en términos de las
consecuencias que acarrearía dicha suspensión. Los riesgos potenciales que pueden
afectar la continuidad y operatividad normal del hardware, software y/o los sistemas de
información de la clínica, son:
TIPO Zona de Riesgo

No. riesgo Riesgo Probabilidad Impacto
RIESGO (Calificación)
Incumplimiento al objeto
Externo 2 contractual por parte de los 2 3 Extremo
contratistas.
Caída o interrupción del sistema

Externo 9 5 3 Extremo
eléctrico
Externo 11 Caída del canal de internet 5 3 Extremo
Externo 13 Caída en el servicio telefónico 4 2 Alto
Caída de servicios por virus

Externo 14 2 3 Moderado
informático
Suspensión del servicio por

Externo 15 3 5 Extremo
Sismo, inundación o incendio
Interno 3 Retrasos en el Proceso 3 3 Extremo

precontractual de la entidad en
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
contratos relacionados con la

infraestructura tecnológica de la
entidad.
Contratación sin asistencia

técnica, Soluciones Inadecuadas o
Interno 4 Incompatibilidad frente a los 2 4 Alto
Requerimientos y Recursos
Disponibles
Pérdida de información
considerada confidencial o de
Interno 5 5 4 Extremo
reserva por robo, alteración o
extracción.
Falla técnica en equipos

Interno 6 servidores, de escritorio o de 5 3 Extremo
comunicaciones.
Falla técnica en sistemas de

Interno 7 5 4 Extremo
información.
Ausencia de personal de
Tecnologías de la Información que
Interno 8 1 3 Alto
brindan soporte y mantenimiento a
los a los sistemas de información.
Mal uso de hardware y/o software

Interno 10 por parte de los funcionarios de la 5 3 Extremo
Clínica
Calentamiento del centro de

Interno 12 3 5 Moderado
cómputo
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
2.5 IDENTIFICACIÓN DE RIESGOS Y SOLUCIONES
2.5.1. Plan de reducción de riesgos (Análisis de Riesgos)
El Plan de reducción de riesgos busca minimizar las fallas generadas por diversos
motivos a partir del análisis de los proyectos desarrollados por el Plan Operativo de la
clínica.
2.5.2 Evaluación de Riesgos Potenciales y no Potenciales
Todos los sistemas informáticos de la Clínica están expuestos a grandes riesgos por
pérdida de información técnica incluso el canibalismo de las computadoras, virus
informático, etc. Así como el cableado eléctrico, telefonía y redes de transmisión de
datos no prestan las garantías del caso.
Se presenta una lista detallada, previa evaluación de los posibles riesgos potenciales
y no potenciales que podrían presentarse en nuestros sistemas de información,
asimismo se incluye una solución para cada caso:
Riesgos Potenciales
Destrucción total o parcial, por desastres naturales o causados por la negligencia

del hombre: inundaciones, terremotos, incendios, etc.
Solución:
Mantener cubierto el stock de material técnico para todo el año, (Discos Duros
externos de gran capacidad, memorias USB, otros insumos acordes a la tecnología
existente).
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Realizar copias de seguridad de los diversos sistemas informático diariamente,

debiendo preservar una copia en la caja fuerte y otra en alguna entidad de
almacenamiento de la ciudad o la nube.
Actualizar las copias de seguridad de la información fuente de los sistemas informáticos

en forma semanal o quincenal y de las bases de datos en forma diaria o semanal según
las políticas de seguridad.
Realizar convenios con empresas del medio para que nos alquilen equipos de cómputo
en casos de emergencia.
Proceder a recuperar la información a partir de los Backus que se encuentran

almacenados.
Apagones del fluido eléctrico desde la misma planta de servicios eléctricos u otras
averías externas.
Solución:
Contar con un generador de luz y un UPS en óptimas condiciones, para poder continuar
brindando el servicio informático a todos los usuarios, en caso de pérdida de información
se recuperará a partir de los Backus.
Cableado eléctrico, tendido a la intemperie por los techos y paredes de la

clínica, lo cual genera interferencias en la transmisión de datos
Solución:
Revisión y evaluación total del actual sistema eléctrico, por parte del personal
electricista de la clínica y proponer una inmediata solución, recomendándose que el
nuevo tendido de cable se implemente en el interior de las estructuras de la clínica o en
su defecto mediante canaletas para protegerlo y evitar las interferencias eléctricas.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Pérdida de Información automatizada (robos), por personas mal

intencionadas.
Solución:
Restaurar la información a partir de los Backus existentes en los archivos, caja fuerte o
entidades de almacenamiento o recuperación en la nube.
Iniciar una investigación interna exhaustiva a los administradores de servidores y/o

operadores de PC.
Formular la denuncia correspondiente ante el órgano policial correspondiente a fin de

deslindar responsabilidades.
Contagio de la Información automatizada (virus informático), transmitido por el

mal uso de Internet u otros medios magnéticos de transporte de información.
Solución:
Restaurar la información a partir de los Backups existentes en los archivos, caja fuerte o
entidades de almacenamiento o la nube.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
3. PLAN DE EJECUCIÓN MANEJO DE CONTINGENCIA SISTEMA DE INFORMACIÓN

DE LOS APLICATIVOS PRINCIPALES DE LA CLINICA
La clínica, dispone de un sistema de información el cual integra toda la

información de los procesos de apoyo y misionales, donde se tiene toda la
información asistencial, este aplicativo esta segmentado por módulos, contamos
con la Historia Clínica electrónica en el 98%, toda la información procesada es
almacena en base de datos desde donde se recupera para su uso.
Actualmente toda la operación es generada desde cada puesto de trabajo que

hacen uso del sistema de información electrónico, para prestar los diferentes
servicios administrativos y asistenciales, que se pueden ver afectadas por
cualquier interrupción de tipo técnico que hace que el sistema de información no
funcione.
En este momento se podría presentar un alto en las actividades que se realizan,

por cuanto no se dispone del sistema de información para registrar los datos, en
caso de la operatividad del sistema de información de Dinámica Gerencial
Hospitalaria.
Es en este momento cuando la clínica debe disponer de un plan de contingencia

que le permita continuar con la prestación de los servicios sin que el usuario se
vea afectado.
Lo que se espera es minimizar en lo posible el impacto de la indisponibilidad del

sistema de información sobre la prestación del servicio al usuario.
3.1 EQUIPAMIENTO NECESARIO PARA LA CONTINGENCIA
Para el funcionamiento adecuado de este plan de contingencia es necesario

determinar cuáles son los servicios más críticos y que se puede ver afectados de
no tener un plan de contingencia. A continuación, se establecen los servicios más
críticos del área asistencial y administrativa, estos son:
Servicio de urgencias
Servicio de Hospitalización
Servicio de consulta externa
Admisiones
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Facturación
3.2 ACTIVACIÓN DE LA CONTINGENCIA
La activación del plan de contingencia se presenta de manera inmediata una vez

se haya presentado la falla del sistema de información. Hemos identificado las
siguientes posibilidades como causas principales de fallo en los Sistemas de
Información en los servicios de Consulta externa, Hospitalización, Urgencias,
Admisiones y Facturación.
 Sistema de Registros clínicos de Dinámica Gerencial no hay acceso o no

responde
 No hay suministro eléctrico
A continuación, se abordan cada una de estas causas:
3.2.1 Sistema de Registros clínicos Dinámica Gerencial no hay acceso o no

responde:
Durante el proceso de atención de un usuario en cualquier servicio de salud, la

persona que está registrando información en el registro clínico se da cuenta que
al hacer clic en algún ítem o guardar los respectivos datos muestra una pantalla
que informa que no se puede acceder al sitio. Esto es síntoma de que
efectivamente ocurrió una caída de la conectividad al tratar de acceder al servidor
principal donde se encuentra alojada la historia clínica. Inmediatamente se
notifica vía telefónica al personal de TIC a los siguientes números corporativos:
Corporativo Lider de Soporte 3114187693

Soporte TIC 1 3224120122
Soporte TIC 2 3224140061
Lider Soluciones Negocios 3217806399
El líder de Soporte y personal técnico respectivo realizara pruebas para verificar si

el daño es una caída de conectividad. Una vez confirmado mediante pruebas
técnicas que existe un problema de conectividad y hay indisponibilidad del
sistema de información de Dinámica Gerencial, inmediatamente se notifica vía
telefónica a los proveedores como Columbus, para el apoyo técnico, y se llamará
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
a los coordinadores de la clínica, para notificarles que hay una interrupción en el

sistema, también se difundirá en los grupo de Wasap de Líderes y Coordinadores,
por caída de conectividad a la Oficina de Comunicaciones y Sistemas para
solicitar a la mesa de ayuda verificar y resolver el problema.
El líder de soporte, quien atiende el incidente, hace el diagnóstico y notificará al

director Administrativo, informando el tiempo promedio en el cual se reestablece
el sistema, aproximadamente.
Se ha definido como tiempo promedio de 30 minutos en los cuales la clínica

espera para activar el plan de contingencia de no reestablecerse el servicio, por
cuanto puede obedecer a un daño técnico que amerite mucho más tiempo para
restablecer el servicio.
Una vez activado el plan de contingencia inmediatamente el profesional de la

salud toma el respectivo registró clínico físico y procede a su diligenciamiento
teniendo en cuenta cada uno de los campos que son obligatorios y que permitirán
medir la calidad del dato.
Los registros clínicos se encuentran en una carpeta, llamada “Plan de

Contingencia”, esta capeta se encuentra en el escritorio y este contiene formatos
en Excel y contiene los mismos campos de nuestros modelos de la Historia Clínica
electrónica.
Para el caso del área de Consulta Externa, se deberá imprimir las planillas, para la
atención de la consulta.
Para el caso del área de Programación de Cirugía, se deberá imprimir la

programación de día.
Las planillas mencionadas anteriormente, deberán ser impresas de la siguiente

manera:
Si existe sistema en alguna de las sedes en necesario, que desde esta el
coordinador o líder encargado imprima dichas planillas.
Si ninguna de las sedes posee sistemas, el coordinador del proceso de Consulta

externa y de programación de cirugía, solicitará al área de sistemas, la impresión
de dichas planillas ya sea por archivo o impresas físicamente, de acuerdo con la
situación que tenga en la contingencia.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Estos listados deberán ser entregados a las siguientes áreas:
Para el caso de consulta externa se deberá entregará a los admisionistas, para

preparar le proceso del ingreso o admisión del paciente.
Coordinador de consulta externa, los médico y facturadores.
Para la atención en el área de cirugía, es necesario que las planillas de

programación, se le entregue al personal de admisiones de urgencias,
facturadores, coordinador y líder de cirugía.
Los registros clínicos deben ser organizados de tal manera que una vez
reanudado el servicio se ingresen los registros clínicos al sistema.
3.2.2 No hay suministro eléctrico:
En los casos de fallo en el suministro eléctrico el tiempo promedio para activar el

plan de contingencia es de 10 minutos, pasado este tiempo se activa el plan
siguiendo el mismo procedimiento como en el caso anteriormente mencionado.
3.2.3 Fallos en horarios nocturnos:
Cuando el fallo del sistema se presenta en horas de la noche entre las 7:00 PM y
las 7: AM donde se tienen servicio 24 horas. Desde el servicio de admisiones de
Urgencias, informarán en primera instancia al área de sistemas, actualmente no
contamos con el servicio de disponibilidad del área de sistemas en este horario, lo
que sucede actualmente es que desde urgencias admisiones, llaman a los
corporativos de:
Corporativo Lider de Soporte 3114187693

Lider Soluciones Negocios 3217806399
Una vez se estable la comunicación se revisa de manera inmediata la situación,

pasados los 30 minutos se determinará si se activa el plan de contingencia, hasta
que a primera hora se pueda hacer el diagnóstico y solucionar el inconveniente. Si
el caso es posible solucionarlo de inmediato se atenderá el caso.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Es necesario que el líder o coordinador de Enfermería, genere un registro

solicitando en la plataforma de QS, para llevar el registro de los incidentes
técnicos que se presenten, para establecer mejoras y evitar que estos eventos se
presenten con frecuencia.
3.2.4 Restablecimiento del Sistema de Información:
Una vez restablecido el sistema, se debe retornar el paso inmediato a manejo en

sistema electrónico.
De acuerdo con los tiempos se determina lo siguiente:
Una Hora sin servicio de Sistemas:

Es necesario que toda la información registrada de manera manual sea transcrita
en el sistema, para no perder la continuidad del tratamiento del paciente y sus
datos clínicos, por el mismo profesional en salud.
Los registros generados tanto medico como de personal de apoyo debe ser
trascritos en el sistema por el profesional que género el registro.
Los registros de órdenes médicas deben ser trascritos al sistema inmediatamente

se reestablece este.
Sin sistema por más de 2 horas:

Es necesario en reunión con el director Asistencial, determinar si la información:
Se transcribe
Se escanea
O se registra en el archivo
Lo anterior debido a la cantidad de información que ya se pudo haber procesado.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
3.2.5 Pruebas del Plan de Contingencia:
El responsable de Seguridad de la Información, en coordinación con la Dirección

Asistencial y los coordinadores y líder asistenciales, se llevarán a cabo
anualmente una prueba del plan por el sistema de simulación, prueba sobre la
mesa con escenario de desastres simulados, en el que se representa la situación
de parada de los sistemas sin activar los procedimientos correspondientes. Se
probará el conocimiento de los profesionales respecto del procedimiento y se
comprobará que en las ubicaciones donde se llevan a cabo la prestación de los
servicios a los pacientes están dotadas adecuadamente de los formularios
necesarios y el equipamiento previsto. Se generará un QS de verificación del
plan. La prueba la realizará con todo el personal de sistema de crecer, quienes
verificarán la integridad y precisión del plan, el conocimiento del personal
implicado en la prueba respecto de los procedimientos y la coordinación entre los
profesionales. El responsable de Seguridad de la Información analizará los
resultados y emitirá el informe correspondiente incluyendo las deficiencias
detectadas en su caso y las recomendaciones oportunas.
3.2.6 Informe después de la prueba del Plan de Contingencia:
Desde el aplicativo de Vitraya se realizará un acta de reunión donde se detallen

todas las actividades y tiempos que fueron empleados en la realización de las
pruebas. Estas pruebas serán simulacros 2 al año que se realizarán con el fin de
revisar la respuesta ante un eventual siniestro de tecnología en bases de datos y
servidores.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
4. ACTIVIDADES DESPUES DE UN DESASTRE
Después de ocurrido un siniestro o desastre es necesario realizar actividades que

se detallan a continuación:
Evaluación de daños
Priorizar actividades el plan de acción
Ejecución de actividades
Evaluación de resultados
Retroalimentación del plan de acción
4.1 EVALUACIÓN DE DAÑOS
Inmediatamente después que el siniestro ha concluido, se debe evaluar la

magnitud del daño que se ha producido, que sistemas y equipos se afectaron, que
tecnología quedo no operativa, cuales se pueden recuperar y en qué tiempos.
Adicionalmente se deberá presentar un informe muy detallado de lo ocurrido a la
gerencia y al director Administrativo.
4.1 PREPARACIÓN DE ACTIVIDADES DEL PLAN DE ACCIÓN
Se deben planear acciones urgentes y prioritarias teniendo en cuenta la prestación

del servicio.
4.2 EJECUSION DE ACTIVIDADES
La ejecución de actividades implica la creación de grupos de trabajo, para realizar

las actividades previamente planificadas en el Plan de Acción.
Desde el área de TIC, se lidere el plan de acción con el o los equipos de trabajo
que se requieran. En caso de presentarse algún problema, debe reportarse de
forma inmediata a los coordinadores.
Los trabajos de recuperación tendrán dos etapas.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
 Restauración haciendo uso de los recursos de la clínica incluido el talento

humano.
 Restauración haciendo uso de asesoría técnica experta si el problema es
más complejo y no se dispone del conocimiento del tema.
4.3 EVALUACIÓN DE LOS RESULTADOS
Una vez concluida las labores de recuperación de los sistemas que fueron
afectados, por el siniestro, debemos evaluar objetivamente, todas las actividades
realizadas, que tan bien se hicieron, qué tiempo tomaron, que circunstancias
modificaron (aceleraron o entorpecieron) las actividades del plan de acción, como
se comportaron los equipos de trabajo etc.
De la evaluación de los resultados y del siniestro en sí, deberían salir dos tipos de
recomendaciones, una la retroalimentación del plan de contingencia y otra
una lista de recomendaciones para minimizar los riesgos y perdida que
ocasionaron el siniestro.
4.4 RETROALIMENTACIÓN DEL PLAN DE CONTINGENCIA
Con la evaluación de resultados, se debe optimizar el plan de acción original,

mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los
elementos que funcionaron adecuadamente.
El otro elemento es evaluar cuál hubiera sido el costo de no haber tenido nuestra
clínica el plan de contingencia llevado a cabo.
4.5 RETROALIMENTACIÓN DEL PLAN DE CONTINGENCIA
Implementación
La fase de implementación se da cuando han ocurrido o están por ocurrir los
problemas para este caso se debe tener preparado los planes de contingentica
para poder aplicarlos. Puede tratarse esta etapa también como una etapa
controlada.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Monitoreo
La fase de monitoreo nos dará la seguridad de que podamos reaccionar en el
tiempo preciso y con la acción correcta. Esta fase es primordialmente de
mantenimiento. Cada vez que se da un cambio en la infraestructura debemos
realizar un mantenimiento correctivo o de adaptación.
Un punto donde se debe actuar es cuando se ha identificado un nuevo riesgo o

una nueva solución. En este caso toda la evaluación del riesgo se cambia, y
comienza un nuevo ciclo completo, a pesar de que este nuevo esfuerzo podría ser
menos exigente que el primero.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
5. PLAN DE RESPALDO
A continuación, se presenta las actividades que se deben realizar con el objeto de

prever, mitigar o eliminar los riesgos conocidos para la clínica.
Nro. ACTIVIDAD ELEMENTOS RESULTADO
1 Copias de seguridad de Documentos en formatos Word, Copias de la información de los usuarios como
la información y Excel, PDF, PowerPoint, coordinadores y liderees en Driver. Una Copia
Documentos existentes imágenes, audio y archivos de de seguridad anual obligatoria de todos los
en los discos duros de los correos electrónicos. Documentos.
computadores de todas
las áreas de la clínica.
2 Copias de seguridad de Bases de datos de Dinámica, Copias de seguridad diarias así:
los sistemas de Vitraya. -Dinámica: 1 Copia Full diarias 7 p.m.
Información y Bases de -Vitraya: 1 Copia Full diarias 8 p.m.
Datos.
Contar mínimo con un kit -Sistema operativo Una copia u original del instalador en custodia
3 de instalación para (Windows Xp,Vista, Windows) de sistemas.
restaurar los archivos del -Paquetes de ofimática. Responsable: Personal TIC
sistema operativo y (Office Standard, Office
aplicaciones de un Profesional)
computador o servidor en -Bases de datos (SQL Server
caso de falla o virus. Standard, etc.)
-Drivers y utilitarios de
impresoras, tarjetas de red,
computadores, etc.
4 Mantener pólizas de Equipos eléctricos y/o Póliza vigente contra todo riesgo de daño y/o
seguros vigentes, electrónicos, móviles, portátiles, pérdida Física por cualquier causa.
asegurando por el valor software y equipos de Responsable: Contabilidad
real, contra todo riesgo comunicación.
los equipos y bienes
5 Mantenimientos, Equipos de computación y Contratos anuales de mantenimiento,
revisiones preventivas y comunicación periféricos, garantías vigentes y control del mantenimiento
correctivas de equipos de sistemas eléctricos UPS, Aire de los equipos.
computación y acondicionado, Alarmas, Responsable: TIC
comunicación, extintores, Sistemas contra incendio,
alarmas y sistemas Extintores, reglamento del
contra edificio.
incendio, para
mantenerlos en óptimas
condiciones.
6 Actualizar las claves o Mínimo cada seis meses como política del
contraseña de acceso a Base de Datos, y sistema de directorio activo, para el ingreso al sistema
las aplicaciones y bases Información Dinámica. operativo.
de datos de los sistemas Cada tres meses cada usuario debe cambiar
de la clínica. la clave para el acceso al sistema de
información Dinámica Gerencial.
Responsable: Todos los funcionarios de la
clínica que manejen sistemas de información.
7 Mantener actualizados los Sistemas operativos de equipos de Instalación de actualizaciones cada vez que salga
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
sistemas operativos con los cómputo, antivirus y aplicaciones una nueva Versión de las aplicaciones.
parches de seguridad, Configuración de actualizaciones automáticas en
ultimas antivirus y los sistemas operativos.
aplicaciones. Responsable: Profesional Universitarios y Técnicos
de la clínica.
8 Mantener los equipos en Equipos de computación y Mantenimiento preventivo y correctivo para los
condiciones ambientales comunicación. equipos de cómputo.
óptimas de tal forma que no Responsable: Auxiliares de TIC
se deterioren por uso
inadecuado.
9 Mantener como respaldo un Equipos de computación y Reducción del tiempo de respuesta a fallas de
inventario adicional con comunicación de la Entidad. hardware y sistemas de información.
equipos de cómputo, Responsable: Responsable de Inventarios de la
repuestos, consumibles, para Clínica.
su reemplazo inmediato en
caso de falla.
10 Disponibilidad de Concepto n+1: UPS, Planta eléctrica, Evitar la suspensión del servicio a los usuarios
redundancia de recursos para almacenamiento, conexiones, líneas, teniendo una alternativa adicional, contratando
evitar la interrupción de la equipos de cómputo adicional y servicio de hosting en datacenter que garanticen
prestación del servicio en los servidores con ambiente de prueba. alta disponibilidad.
sistemas de información de Responsable: Gerencia y Sistemas.
la Clínica.
11 Alta disponibilidad Dos servidores de almacenamiento. Evitar interrupción de aplicaciones y bases de datos.
(Failover) de infraestructura Canales de datos e internet Responsable: Oficina de Sistemas, Gerencia.
en servidores, BD y red, si
se presenta fallas en uno de
los servidores, conectividad
o Base de datos
DESCRIPCIÓN DE LA ACTIVIDAD
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
REPORTE DEL PROBLEMA
Nombre de la Descripción
No actividad Responsable
Desde el área de sistema identifica el problema o falla del Desde el área de sistemas
sistema de información y comunican de forma inmediata, asignado para solución y
abriendo un ticket en la plataforma dispuesta para ello o seguimiento del reporte.
1 Comunicar el
telefónicamente los por menores del caso.
problema o falla.
El ticket debe contener un resumen del problema y el detalle

de la falla presentada puede ir acompañada de toda información
adicional como imágenes de pantallazos necesarios para
identificar el problema.
Analizar y evaluar el Área de sistemas asignado
El ingeniero o técnico a quien se le haya asignado el caso
2 problema o falla. para solución y
mediante ticket numerado realizará la verificación, análisis y
Diagnóstico seguimiento del reporte.
evaluación de los mismos, los soluciona si está a su alcance, y
realiza la comunicación al interesado; de lo contrario, escala el
caso.
El profesional Universitario o Técnico de sistemas abre el
Escalar y Funcionario o contratista
caso en el sistema de tickets para reporte, seguimiento y control
gestionar la del área de sistemas
3 de la solución del problema.
solución del asignado para solución y
problema seguimiento del reporte.
Se categoriza el problema de acuerdo con la prioridad y se escala
al responsable de acuerdo con el nivel de servicio. Si el problema
va a ser solucionado por personal externo de la clínica se debe
asignar el respectivo ticket al proveedor responsable del servicio
solicitado.
Funcionario o contratista
Después del diagnóstico, si se encuentra solución, se implanta la del área de sistemas
misma y se recupera la operación normal de lo contrario se asignado para solución y
escala al siguiente nivel y se verifica nuevamente el problema seguimiento del reporte.
hasta encontrar la solución.
4 Ejecutar pruebas Para los casos que requieran realizar pruebas, Se realizan
pruebas para verificar la efectiva solución, luego se implementa
en el ambiente de producción.
Se realiza seguimiento y monitoreo durante un periodo de

tiempo hasta que se vuelva a presentar, si no vuelve a presentarse
se cierra el problema y se hace reapertura si es necesario. Una
vez solucionado el problema se responde el ticket con la
descripción de la solución del problema, fecha, responsable. Se
envía la comunicación de la solución al funcionario que reportó
el problema y a las partes interesadas del proceso, para
verificación de la solución.
5 Los funcionarios usuarios del sistema deben verificar que la Todos los funcionarios
Verificar solución y solución dada sea satisfactoria durante un período no superior a usuarios de sistemas de
período de prueba dos días, de lo contrario comunicarán al área de sistemas la información
inconformidad para la reapertura del caso y se devuelve a la
actividad 4.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Si los usuarios no presentan ninguna observación durante el

período de prueba, se entiende por recibida a satisfacción la
solución del problema.
6 Se cierra el caso, una vez finalizado el tiempo de prueba o si Funcionario o contratista del
Cerrar el caso existe recibo a satisfacción por parte de los usuarios del sistema área de sistemas
sobre la solución dada. asignado para solución y
seguimiento del reporte
7 Fin del procedimiento
PROCESO DE RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

No Nombre de la Responsable
Descripción
actividad
Todos los funcionarios
Los funcionarios de Centro Médico Crecer Ltda. tienen la
1 Comunicar la falla usuarios de sistemas de
responsabilidad de comunicar de forma inmediata, por cualquier
información de Centro
medio de comunicación disponible, al área de sistemas la
Médico Crecer Ltda.
interrupción parcial o total del servicio de un sistema de
información y/o comunicación de la Clínica.
Los ingenieros de sistemas de Centro Médico Crecer Ltda.
realizarán pruebas preliminares para constatar la veracidad del
incidente y constatar la suspensión total o parcial del servicio del
sistema de información.
En principio se deben tomar en cuenta los siguientes aspectos del

plan de emergencias:
1. Evaluación del impacto y urgencia de la situación del desastre

en la infraestructura de los sistemas de información y/o Funcionario del área de
Iniciar plan de Comunicación. sistemas asignado para la
2 recuperación. recuperación y
seguimiento de la solución.
1. Asignación de funciones de emergencia a los funcionarios del
área de sistemas.
2. Verificación de disponibilidad de recursos para la contingencia
como: manuales técnicos de instalación del sistema de
información, almacenamiento de datos, sistemas eléctricos,
comunicación, hardware y copias de seguridad.
3. Comunicación a los usuarios de la interrupción o degradación
del servicio indicando el tiempo estimado de restablecimiento
del servicio si se puede determinar.
4. Procedimiento de contacto y colaboración con los proveedores
involucrados.
Si el sistema se encuentra funcionado parcialmente y es posible
realizar una copia de seguridad, se suspende el servicio para que los
usuarios no registren más transacciones y se realiza la copia de
seguridad.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
El responsable asignado ejecuta los siguientes pasos para la

recuperación del sistema de acuerdo con el nivel de la falla:
1. Instalación y puesta a punto de un equipo de cómputo
compatible y hardware necesarios para la instalación del
sistema de información con las características mínimas
exigidas.
2. Instalación y configuración del sistema operativo, drivers y
servicios necesarios para el funcionamiento del sistema de
información a recuperar. Funcionario o contratista del
Ejecutar el plan de
3. Instalación y configuración del sistema de información y área de sistemas asignado
3 recuperación.
el motor de la base de datos y niveles de seguridad. para la
4. Instalación de aplicaciones adicionales necesarias para el recuperación y
funcionamiento del sistema de información. seguimiento de la solución.
5. Realización del procedimiento restauración de la base de datos
con la última copia de seguridad disponible de acuerdo con el
procedimiento de restauración establecido: Copia completa y
la última diferencial.
6. Reiniciación del servicio, prueba y afinamiento del sistema de
información.
7. En un horario de baja demanda de tráfico en la red y servicios,
se realiza la recuperación de otras aplicaciones y
actualizaciones que no influyen directamente en el
funcionamiento del sistema de información recuperado.
8. Si el equipo de cómputo no requiere cambiarse por fallas
técnicas de hardware y se cuenta con una copia en el disco
duro, únicamente es necesario restaurar la copia de seguridad
de la información, sin realizar los pasos del 1 al 4.
9. Para los sistemas de información web únicamente se requiere
copiar la carpeta donde se encuentra el software ejecutable y
actualizar la carpeta de la base de datos con el último Backups
automático almacenado en el disco duro.
De acuerdo con la complejidad y especialidad del sistema de

información de la Clínica, o si la actividad 4 no ha sido
satisfactoria, se debe escalar y determinar el nivel de servicio.
Una vez puesta en marcha y funcionamiento el sistema de
información, se comunica a los usuarios de este usando el medio de Funcionario o contratista del
comunicación más masivo. área de sistemas asignado
Comunicar el
4 restablecimiento del para la recuperación y
servicio. Se realiza un seguimiento en las primeras dos horas sobre el seguimiento de la solución.
comportamiento y rendimiento del sistema para verificar su correcto
funcionamiento.
Se lleva a cabo una solicitud de opinión o encuesta sobre del

funcionamiento del sistema de información, como
retroalimentación para el cierre del proceso.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Cerrar el proceso Se cierra el proceso, una vez finalizado el período de seguimiento y

Funcionario del área de
5 de recuperación en no exista ninguna observación por parte de los usuarios.
sistemas asignado para
caso de contingencia
la recuperación y
seguimiento de la solución.
SIMULACRO PARA VERIFICAR LA EFICIENCIA Y EFECTIVIDAD DEL PLAN

DE CONTINGENCIA
No Nombre de la Descripción
actividad Responsable
1.
Realizar la programación anual del simulacro de
recuperación de los sistemas de información.
2. Difusión y actualización de los planes de prevención y
recuperación de sistemas.
Planificar simulacro 3. Capacitación específica sobre los diferentes Profesional responsable del área
1 plan de procedimientos de prevención y recuperación, dentro de sistemas
contingencia del proceso de inducción a los funcionarios nuevos
que ingresan a la Clínica.
4. Verificación de disponibilidad de manuales o guías
técnicas actualizadas para la instalación de sistemas
de información.
5. Disponibilidad de recursos informáticos para
habilitar el servicio de un sistema de información
en el menor tiempo posible.
Sistemas de Centro Médico Crecer Ltda., verifican la
disponibilidad de los recursos o requerimientos mínimos
para la ejecución del simulacro:
Preparar
1. Disponibilidad de recursos para la contingencia
recursos para el
2 como: Manuales o guías técnicas de instalación del Profesional responsable del
simulacro de área de sistemas.
sistema de información, almacenamiento de datos,
recuperación.
sistemas eléctricos, comunicación, de hardware, y
copias de seguridad.
2. Disposición de equipos de cómputo (servidor o
computador) con las características técnicas mínimas
para la instalación y recuperación del sistema de
información.
3. Verificación de disponibilidad de los proveedores o
contratista involucrados para el soporte en caso de
requerirse.
Se ejecuta el procedimiento del simulacro realizando el
Ejecutar el
procedimiento descrito en la actividad 4 del numeral 7.2 Profesional responsable del
simulacro del
4 “Ejecutar el plan de recuperación” para verificar la área de sistemas.
plan de
eficiencia, eficacia y efectividad del plan de contingencia
contingencia.
correspondiente a cada sistema de información.
En esta fase hay que tener muy presente que el plan no
busca resolver la causa del problema, sino asegurar la
continuidad de las tareas críticas de la Clínica.
Se realizan las pruebas pertinentes para intentar valorar el
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
impacto real de un posible problema dentro de los

escenarios establecidos como posibles.
Realizar En caso de que los resultados obtenidos difieran de los Profesional responsable del
5 pruebas área de sistemas
esperados, se devuelve a la actividad anterior para
verificación, e inicia nuevamente la prueba.
El adecuado conocimiento por parte de los participantes del

plan de contingencia y la documentación técnica de los
sistemas de información, ayudarán a identificar las posibles
carencias del plan.
Una vez finalizado el plan, se elabora un acta que contenga

los resultados de su ejecución cuyas conclusiones servirán
para elaborar los planes de mejoramiento al sistema de
atención de contingencias.
LISTA DE VERIFICACIÓN PLAN DE CONTINGENCIA

No Actividad Oficina SI NO Obs.
Resultado
Copias de seguridad de la
Se encuentran disponibles las
información y documentos de
copias de seguridad de los
los discos duros de los
1 archivos y documentos de los X
computadores de la Clínica
usuarios en la carpeta de cada
(Documentos en formatos
usuario en la unidad de
Word, Excel, Power Point,
almacenamiento.
audio y correos electrónicos)
Se encuentra disponible una
copia de seguridad diaria para
la vigencia actual de las
Copias de seguridad de los
siguientes bases.
2 sistemas de información y bases X
1. Dinámica Gerencial
de datos de Centro Médico
2. Vitraya
Crecer Ltda.
Se encuentra disponible un KIT
de instalación para cada uno de
los siguientes productos y
Contar mínimo con un kit de
periféricos de Centro Médico
3 instalación para restaurar los X
Crecer Ltda.
archivos del sistema operativo y
1. Sistema Operativo Windows
aplicaciones de un computador
XP, Vista, Windows Server,
o servidor en caso de falla o
2008 Server standard
virus.
2. SQL Server 2019 R2
3. Drivers para Impresora
4. Microsoft Office Estándar
Edition y Profesional.
Mantener descentralizados Los Todas las áreas de Centro
4 tiene los servicios de Directorio X
servicios que requieren Médico Crecer Ltda
activo y IIS, Máquinas
restauración inmediata.
virtuales de SQL Server.
Mantener pólizas de seguros
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
5 vigentes, asegurando por el Todas las áreas de Centro X

cuenta con Pólizas vigentes
valor real, contra todo riesgo Médico Crecer Ltda
contra todo riesgo de daño y/o
los equipos y bienes de
pérdida física por cualquier
causa.
Mantenimientos, revisiones Todas las áreas de Centro
preventivas y correctivas de Médico Crecer Ltda Centro Médico Crecer Ltda.
6 equipos de computación y cuenta con un plan de X
Comunicaciones, extintores, mantenimiento vigentes para
alarmas y sistemas contra los equipos de cómputo de la
incendio, para mantenerlos en Clínica.
óptimas condiciones.
Actualizar las claves o Se tiene implementada la política
7 contraseña de acceso a las Todas las áreas de Centro de actualización de claves de X
aplicaciones y bases de datos Médico Crecer Ltda acceso para todos los sistemas de
de los sistemas de información de la Entidad en el
información de directorio activo.
Mantener actualizados los Se cuenta con un sistema de
8 sistemas operativos, antivirus y seguridad con seguimiento e X
aplicaciones de Centro Médico informes para detectar
Crecer Ltda. vulnerabilidades de riesgo por
virus informático.
Mantener los servidores en Verificación del cuarto de
9 condiciones ambientales servidores y X
óptimas de tal forma que no comunicaciones que cuente con
Fallen o se deterioren por uso sistemas de seguridad de
inadecuado. acceso y ambiente adecuado de
temperaturas.
Mantener como respaldo un
10 inventario adicional con Verificar que existan equipos y X
equipos de cómputo, repuestos de respaldo en almacén
repuestos, consumibles, para su y en cada sede.
reemplazo inmediato en caso de
falla.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
CRONOGRAMA PARA LA EJECUCIÓN DEL PLAN

PLAN Y ACCIONES PROGRAMACION PARA LA EJECUCCION
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
PLANEACION
Construcción Plan de contingencia X X
Actualizar Plan de Contingencia X
EJECUCION
Ejecución primer Simulacro, X
indisponibilidad del sistema de
información Dinámica Gerencial
Ejecución Plan de Backups en la nube X
bases de datos sistema de información
Dinámica Gerencial para mitigar
riesgo de pérdida de información
Ejecución Segundo Simulacro, X
Indisponibilidad del servicio sistema
de información Dinámica Gerencial
EVALUACION
Presentación del informe de X
evaluación del primer simulacro a
Personal Tecnico en Sistemas y
grupos primarios de la Clínica
Presentación del informe de X
evaluación del primer simulacro a
Personal Tecnico en Sistemas y
grupos primarios de la Clínica
MEJORAS
Acciones de Mejora del Plan de X
contingencia
Recursos
Financieros
Talento humano
Equipos biomédicos
Medicamentos, dispositivos e insumos
Informáticos
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Glosario de términos
ACCESO: Es la lectura o grabación de datos que han sido almacenados en un sistema

de computación. Cuando se consulta una Base de Datos, los datos son primero
accedidos y suministrados a la computadora y luego transmitidos a la pantalla del equipo.
ACTIVO: Se refiere a cualquier información o sistema relacionado con el tratamiento de

esta que tenga valor para la organización.
AMENAZA: Cualquier evento que pueda interferir con el funcionamiento de un

computador o causar la difusión no autorizada de información confiada a un computador
como, por ejemplo: Fallas del suministro eléctrico, virus, saboteos o descuido del usuario.
ATAQUE: Término general usado para cualquier acción o evento que intente interferir con
el funcionamiento adecuado de un sistema informático o el intento de obtener de modo no
autorizado la información confiada a un computador.
APLICACIONES CRITICAS: Son las aplicaciones o sistemas de información que reciben

este término porque previamente se encuentran clasificados como vital o necesarias para
el buen funcionamiento de los procesos y procedimientos misionales.
BASE DE DATOS: Es un conjunto de datos organizados, entre los cuales existe una
correlación y que además están almacenados con criterios independientes de los
programas que los utilizan. Entre sus principales características se encuentran brindar
seguridad e integridad a los datos, proveer lenguajes de consulta, de captura y edición de
los datos en forma interactiva, proveer independencia de los datos.
BRECHA: Término que se utiliza para denominar la diferencia que se observa entre el
mecanismo de seguridad que existe y la situación ideal para evitar que germinen
vulnerabilidades que impacten el negocio de la Entidad.
BUENAS PRACTICAS: Son lineamientos que contiene los principios básicos y generales
para el desarrollo de los productos o servicios de la organización para la satisfacción al
cliente.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
CICLO DE VIDA DE LA INFORMACIÓN DIGITAL: Se refiere a la clasificación y

almacenamiento de la información; siendo necesario tener en cuenta los requisitos
técnicos y legales; así como tener claro los conceptos de disponibilidad y velocidad que
depende de la misma clasificación que varía conforme su valor con el tiempo.
CLASIFICACION DE LAS APLICACIONES: Las aplicaciones se clasifican conforme los

procesos de la entidad y son: Misional, Estratégico y de Apoyo.
CLASIFICACION DE LA INFORMACIÓN: Proceso formal que se utiliza para ubicar el

nivel a la información de la Entidad con el fin de protegerla; previa estructura de
valoración en atención al riesgo que se presume existe si hay una divulgación no
autorizada. Generalmente la información debería clasificarse en relación con su valor,
requisitos legales, sensibilidad y criticidad para la Organización.
CLIENTES: Persona natural o usuario que recibe un producto Institucional. El cliente

puede ser interno o externo a la organización.
CONFIDENCIALIDAD: Acceso a la información por parte únicamente de quienes esté

autorizados.
CORRIENTE ELECTRICA REGULADA: Se utiliza para regular o mantener el voltaje de la

red eléctrica para que no afecte el funcionamiento de los recursos TIC de la Entidad.
CORTAFUEGOS (firewall): Es un sistema diseñado para bloquear el acceso no

autorizado de comunicaciones. Se trata de un dispositivo configurado para permitir,
limitar, cifrar y descifrar el tráfico de mensajes entre los diferentes ámbitos sobre la base
de un conjunto de normas y otros criterios. Los cortafuegos se utilizan para evitar que los
usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a
Internet, especialmente intranets.
DATA CENTER: Lugares físicos de la entidad donde se encuentren alojados los

servidores y demás equipos de comunicaciones
DATO: Es una letra, número o símbolo que tiende a convertirse en información.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
DATOS: Los datos son hechos y/o valores que al ser procesados constituyen una
información, sin embargo, muchas veces datos e información se utilizan como sinónimos
en el presente documento. En su forma más amplia los datos pueden ser cualquier forma
de información: campos de datos, registros, archivos y Bases de Datos, textos (colección
de palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores o
cuadros de bits), videos (secuencia de tramas), etc.
DEPENDENCIAS: Son los grupos que conforman la estructura organizacional de la

Entidad.
DISPONIBILIDAD: Acceso a la información y los sistemas de tratamiento de la misma por

parte de los usuarios autorizados cuando lo requieran.
DOCUMENTO: Es el medio físico que contiene la información que se quiere transmitir.
DUEÑO DE LA INFORMACIÓN: Es cualquier persona que es propietaria de la

información y tiene la responsabilidad de custodiarla.
INCIDENTE: Cualquier evento que no forma parte del desarrollo habitual del servicio y
que causa, o puede causar una interrupción de este o reducción de la calidad del servicio.
INFORMACIÓN: Se refiere a toda comunicación o representación de conocimiento como

datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas,
cartográficas, narrativas o audiovisuales, y que es guardada en cualquier medio, ya sea
magnético, en papel, en pantallas de computadoras, audiovisual u otro.
INFORMACIÓN DIGITAL: Cuando la información está almacenada en un medio

magnético porque cuando se imprime se convierte en documento físico y en este último
caso existe en el SGC la dependencia que define los lineamientos, normas, guías y
estándares.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
INFORMACIÓN SENSIBLE: Es la tipificación que recibe la información que no se

considerada de acceso público como por ejemplo ciertos datos personales y bancarios,
contraseñas de correo electrónico e incluso el domicilio en algunos casos. Aunque lo más
común es usar este término para designar datos privados relacionados con Internet o la
informática, sobre todo contraseñas, tanto de correo electrónico, conexión a Internet, IP
privada, sesiones del PC, etc.
INTEGRIDAD: Mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso.
INTERRUPCIÓN: Incidente, bien sea anticipado (ej. huracanes) o no anticipados (ej.
Fallas de potencia, terremotos, o ataques a la infraestructura o sistemas de tecnología y
telecomunicaciones) los cuales pueden afectar el normal curso de las operaciones en
alguna de las ubicaciones de la organización.
MODO DE FALLA: Manera Forma en por la cual se observa una falla es observada.
NIVEL DE CRITICIDAD: Descripción cualitativa usada para enfatizar la importancia de un

recurso, proceso o función que debe estar disponible y operativa constantemente o
disponible y operativa al menor tiempo posible después de que un incidente, emergencia
o desastre ocurra
POLÍTICA TIC: Documento que contiene los lineamientos que define la organización para
reglamentar el desarrollo de los proyectos y recursos TIC de la Entidad; como las
acciones que deben permanecer en el tiempo para alcanzar los objetivos de su negocio.
POLITICA DE SEGURIDAD: Es el documento de normas y lineamientos de seguridad de

la información que define la Entidad para evitar que surja vulnerabilidades que puede
afectar el negocio de la Entidad.
Privacidad: Se define como el derecho que tiene Centro Médico Crecer Ltda. para
determinar, a quién, cuándo y qué información de su propiedad podrá ser difundida o
transmitida a terceros.
PROCESOS CRITICOS: Concepto que se utiliza para definir el conjunto de actividades o

eventos que se ejecutan bajo ciertas circunstancias que inciden en los productos
misionales de la entidad y en la satisfacción de los clientes.
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
PROVEEDORES: Negocio o empresa que ofrece servicios a otras empresas o

particulares. Ejemplos de estos servicios incluyen: acceso a internet, operador de
telefonía móvil, alojamiento de aplicaciones web etc.
PROPIETARIO DE LA INFORMACION: Se utiliza para denominar a la persona autorizada

para organizar, clasificar y valorar la información de su dependencia o área conforme al
cargo de la estructura organizacional de la Entidad.
REPOSITORIO DE DOCUMENTOS: Sitio centralizado donde se almacena y mantiene

información digital actualizada para consulta del personal autorizado.
REQUERIMIENTO: Necesidad de un servicio TIC que el usuario solicita a través del

mecanismo definido por la organización en los procedimientos normalizados.
SERVICIO: Incluye los servicios profesionales para la instalación, mantenimiento,

desarrollo, integración de software y adquisiciones, enajenaciones, arrendamientos y
contratación de Hardware y soporte tanto de software como de hardware; así como de la
plataforma tecnológica.
SERVICIOS TIC: El concepto de Servicio TIC consiste en dar soporte, de forma integrada
y personalizada, a todas estas herramientas que necesita hoy en día el profesional de
empresa para realizar su trabajo. Los elementos del Servicio TIC son:
• Los dispositivos: PC, portátiles, agendas electrónicas, impresoras, teléfonos, sistemas
de videoconferencia, etc.
• La Red de Área Local corporativa (LAN). Así como las comunicaciones de voz
incluyendo el teléfono y ahora llega el momento de proporcionar y gestionar los PC y la
electrónica de red necesarios para las comunicaciones de datos.
• Las comunicaciones de voz y datos WAN (Red de Área Remota), que incluyen tanto las
redes privadas corporativas como el acceso a redes públicas como Internet. La
integración de las comunicaciones WAN y estas cada vez se requieren con las
comunicaciones LAN.
• Los servicios y aplicaciones desde la red. Existe una clara tendencia hacia la
“externalización” de determinados servicios de acuerdo a la madurez y sus problemas
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
conocidos y controlados. Un ejemplo es el correo electrónico. Muchas empresas prefieren

“externalizar” este servicio para no tener que dedicar recursos a mantener y gestionar la
infraestructura de correo durante las 24 horas los 7 días de la semana.
SGC: Sigla formada por las iniciales de las siguientes palabras Servicio Geológico
Colombiano.
SGSI: Sistema de Gestión de Seguridad de la Información. Concepto central sobre el que

se construye ISO 27001. La gestión de la seguridad de la información debe realizarse
mediante un proceso sistemático, documentado y conocido por toda la organización, que
debe tener la política, estructura organizativa, procedimientos, procesos y recursos
necesarios para implantar la gestión de la seguridad de la información.
SISTEMA DE INFORMACIÓN: Se refiere a un conjunto independiente de recursos de

información organizados para la recopilación, procesamiento, mantenimiento, transmisión
y difusión de información según determinados procedimientos, tanto automatizados como
manuales.
TIC: Conjunto de recursos, procedimientos y técnicas usadas en el procesamiento,

almacenamiento y transmisión de información, en la actualidad no solo una computadora
hace referencia al procesamiento de la información. Internet forma parte de ese
procesamiento que, quizás, se realice de manera distribuida y remota. El procesamiento
remoto, además de incorporar el concepto de telecomunicación, hoy día hace referencia a
un dispositivo como un teléfono móvil o una computadora ultra-portátil, con capacidad de
operar en red mediante Comunicación inalámbrica.
USUARIO: Persona que utiliza los recursos TIC y que interactúan de forma activa en un
proceso, secuencia, código etc.
Anexos
Procedimientos o Protocolos asociados
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
Formatos
desactualizada.
SISTEMA DE GESTIÓN
Versión: 1.0
DOCUMENTAL
CONTROL DE CAMBIOS
INFORMACIÓN DE CAMBIOS
Versión Fecha
Descripción/Justificación Responsable
1.0
CONTROL DE DOCUMENTOS
Elaborado por: Revisado por: Aprobado por:
Fecha: Fecha: Fecha:
desactualizada.

Plan de Contingencia

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan de Contingencia

Cargado por

Copyright:

Formatos disponibles

CENTRO MÉDICO CRECER Código: OT

El plan de contingencia de Sistemas de información del Centro Médico Crecer Ltda., es

La elaboración del plan de contingencia implica un importante avance a la hora de

El Área de Sistemas, tiene como propósito proteger la información, asegurando su

Actualmente, los profesionales y técnicos de la informática tienen como una de sus

Garantizar la continuidad en la prestación del servicio en para nuestros pacientes, en el

El Plan de Contingencia de Sistemas de Información para Centro Médico Crecer

Legalidad: Referido al cumplimiento de las leyes, normas, reglamentaciones o

Norma NTC-ISO 27001, Seguridad de la Información.

Ley 46 de 1988 - Se crea y organiza el Sistema Nacional para la Prevención y

Guía Técnica Colombiana 202 de 2006, Sistema de Gestión de Continuidad del

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la

Ley Estatutaria 15 81 de 2012 y Reglamentada Parcialmente por el Decreto Nacional

Decreto 2693 de 2012: Lineamientos generales de la Estrategia de Gobierno en línea de

tradicionales, como a los documentos electrónicos que se encuentren en equipos de

Ley 1437 de 2011: Por la cual se expide el Código de Procedimiento Administrativo y de

NTC 27001:2006: Sistema de Gestión de Seguridad de la Información (SGSI). En 2005,

ISO 27002:2005: Esta norma proporciona recomendaciones de las mejores prácticas en

ISO/IEC 27001:2005: Es la evolución certificable del código de buenas prácticas ISO

NTCGP1000:2004: Esta Norma establece los requisitos para la implementación de un

¿Qué es un sistema de información?

Un sistema de información es un conjunto de elementos orientados al tratamiento

Un Sistema Informático utiliza ordenadores para almacenar los datos de una

Los sistemas de información tienen muchas cosas en común. La mayoría de ellos

¿Qué es un Plan de Contingencia?

Un Plan de Contingencias es una herramienta estratégica planificada con una

es decir, un plan que le permite a la clínica, seguir operando

Características principales de un Plan de Contingencia

Abierto en el tiempo. Para dar respuesta permanente a cualquier tipo de incidencias.

Participativo. Porque se pretende que intervenga todo el personal de TI y personal

2. DESARROLLO DE LAS FASES METODOLÓGICAS, ACTIVIDADES,

2.1 MARCO METODOLÓGICO

Este plan de contingencia puede prevenir fallas o accidentes en sus operaciones

Debemos tener presente que mucho dependerá de la infraestructura de la Clínica y de

La metodología empleada para el desarrollo y aplicación del plan de contingencias de

La presente metodología se podría resumir en ocho fases de la siguiente manera:

2.2 FASE 1 – PLANIFICACION

La fase de planificación es la etapa donde se define y prepara el esfuerzo de

Efectuada nuestra revisión de la administración de riesgos de Tecnologías de

Dentro de los distintos aspectos a considerar en la seguridad, es necesario

Los controles no obedecen a una definición previa de una

2.2.3 APLICATIVOS DE LA CLINICA

NOMBRE DEL RESPONSABLE

CRONOS Todas las Unidades

2.3 IDENTIFICACIÓN Y PRIORIZACIÓN DE RIESGOS

2.3.1 DESCRIPCIÓN DE LOS RIESGOS EXTERNOS

Caída o interrupción del sistema eléctrico - (R9).

Caída del canal de internet - (R11)

Caída del Servicio Telefónico - (R13)

Caída de servicios por virus informático - (R14)

Suspensión del servicio por sismo, inundación o incendio - (R15)

2.3.2 DESCRIPCIÓN DE LOS RIESGOS INTERNOS

Retrasos en el Proceso precontractual de la entidad en contratos relacionados con

Contratación sin asistencia técnica, Soluciones Inadecuadas o Incompatibilidad

Pérdida de información considerada confidencial o de reserva por robo, alteración o

reservada por deficiencia en las políticas de seguridad o Configuración ineficiente del

Falla técnica en sistemas de información - (R7).

Calentamiento del centro de cómputo - (R12).

ventilación de precisión acorde a las necesidades de la entidad lo que puede generar

2.4 ANÁLISIS Y CLASIFICACIÓN DE LOS RIESGOS

Los riesgos de seguridad de la información de la Clínica se clasifican de acuerdo con la

2.4.1 CALIFICACIÓN DEL RIESGO

Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que

Probabilidad Descripción Frecuencia Valor