GOBIERNO Y

PROCESO GESTIÓN DE LA CÓDIGO GGGU0

INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

GUIA DE CUMPLIMIENTO DE
CONTINUIDAD DE NEGOCIO

BOGOTÁ D.C.
2018

ELABORÓ: REVISÓ: APROBÓ:

Profesional Oficina Profesional de la Oficina Jefe Oficina tecnologías de
tecnologías de la Asesora de Planeación la información
información
FECHA: FECHA: FECHA:
20/04/2018 06/06/2018 22/06/2018

CONTENIDO

1
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

1. OBJETIVO...............................................................................................................................5
2. ALCANCE................................................................................................................................6
3. AMBITO DE APLICACIÓN....................................................................................................6
4. REQUISITOS DE CALIDAD APLICABLE..........................................................................6
5. DEFINICIONES.......................................................................................................................6
6. GENERALIDADES.................................................................................................................8
7. CONTEXTO DE LA ORGANIZACIÓN.................................................................................8
7.1 NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS..............8
7.2 ALCANCE DEL SISTEMA DE GESTIÓN..................................................................9
8. LIDERAZGO..........................................................................................................................10
8.1 COMPROMISO DE LA ALTA DIRECCIÓN..............................................................10
8.2 POLÍTICA......................................................................................................................11
8.3 ROLES Y RESPONSABILIDADES...........................................................................11
8.3.1 Comité de Directivo...............................................................................................12
8.3.2 Líder Oficina de Tecnologías de la Información.............................................13
8.3.3 Líder del Plan de Continuidad de Negocio......................................................14
8.3.4 Coordinador Grupo de Infraestructura.............................................................14
8.3.5 Coordinador Grupo de Aplicaciones................................................................14
8.3.6 Coordinadores de proceso..................................................................................14
8.3.7 Funcionarios Críticos...........................................................................................14
9. RECURSOS...........................................................................................................................15
9.1 SENSIBILIZACIÓN Y CAPACITACIÓN....................................................................15
9.2 COMUNICACIÓN.........................................................................................................16
9.3 INFORMACIÓN DOCUMENTADA............................................................................16
10. OPERACIÓN..........................................................................................................................17
10.1 ANÁLISIS DE IMPACTO AL NEGOCIO - BIA........................................................17
10.2 ESTRATEGIA DE CONTINUIDAD DE NEGOCIO..................................................19
10.2.1 Plan de Recuperación de Procesos..............................................................19
10.2.2 Plan de Recuperación Tecnológica...............................................................20

2
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

10.2.3 Retorno a Operación con normalidad..........................................................21

10.3 EJERCICIOS Y PRUEBAS........................................................................................22
11. MEJORA CONTINUA...........................................................................................................22
12. REFERENCIAS BIBLIOGRAFICAS..................................................................................22

3
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

INDICE DE FIGURAS

Ilustración 1 Mapa de Procesos SNS...........................................................................................9

Ilustración 2 Organigrama PCN – SNS......................................................................................12
Ilustración 3 Nivel de criticidad....................................................................................................18
Ilustración 4 Recuperación de procesos....................................................................................20
Ilustración 5 Recuperación Tecnológica.....................................................................................20
Ilustración 6 Replicación Tecnológica.........................................................................................21

4
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

INDICE DE TABLAS

Tabla 1 Integrantes COE..............................................................................................................13

5
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

1. OBJETIVO
Definir, documentar y socializar la metodología de gestión del plan de continuidad
del negocio, desarrollando los factores de éxito para la implementación de este.
Identificar la acciones planeadas y orientadas al logro de los objetivos estratégicos de la
entidad, las cuales permitan establecer la continuidad de sus operaciones.

2. ALCANCE

Este documento contiene los requisitos considerados dentro de la Norma ISO 22301, con
los componentes claves del Plan de Continuidad de Negocio aplicados dentro de la
Superintendencia Nacional de Salud, dando cumplimento al anexo A17 ¨Aspectos de
seguridad de la información de la gestión de continuidad de negocio¨ de la norma ISO
27001

3. AMBITO DE APLICACIÓN

Este documento hace parte de la documentación del Subsistema de Seguridad de la

Información dentro del Sistema Integrado de Gestión de la Superintendencia Nacional de
Salud.

La estrategia establecida con el uso de esta guía define la forma en la cual operará la
Entidad ante un desastre, para continuar prestando sus servicios en la sede principal de la
SNS en la ciudad de Bogotá y pueda seguir prestando la disponibilidad de sus sistemas
de información.

4. REQUISITOS DE CALIDAD APLICABLE

Esta Guía se apoya en el cumplimiento de los lineamientos establecidos en la Norma

Técnica Colombiana NTC 5722; Continuidad de Negocio, Sistemas de Gestión de
Continuidad de Negocio y los criterios definidos en el procedimiento Gestión para la
Continuidad de Negocio (GGPD02). Los cuales son aplicados para dar cumplimento al
anexo A17 ¨Aspectos de seguridad de la información de la gestión de continuidad de
negocio¨ de la norma ISO 27001

5. DEFINICIONES

Los siguientes términos y definiciones que se encuentran en el presente

documento están Basados en la Norma NTC-ISO/IEC 27000 y ISO 22301 y son
aplicables al Sistema Integrado de Gestión de la Superintendencia Nacional de
Salud.

6
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

Activación: Acto de declarar que los acuerdos de la organización de Continuidad de

Negocio deben llevarse a la práctica con el fin de continuar la entrega de productos o
servicios clave.

Análisis de Impacto al Negocio (BIA, por sus siglas en inglés, Business Impact
Analisys): Proceso del análisis de actividades y el efecto que una interrupción de negocio
podría tener sobre ellas.

Continuidad de Negocio: Capacidad de la organización para continuar con la entrega de

productos o servicios a los niveles predefinidos aceptables después de un evento
perjudicial.

Ejercicio: Proceso para entrenar, evaluar, practicar, y mejorar el desempeño en una

organización.

Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.

Incidente: Situación que sería o podría llevar a una interrupción, pérdida, emergencia o
crisis.

Infraestructura: Sistema de instalaciones, equipos y servicios necesarios para el

funcionamiento de una organización.

Mejoramiento continuo: Actividad periódica para mejorar el desempeño.

Minutogramas: son documentos anexos al GGPL01, se desarrollan bajo el formato

COFL02

Plan de Continuidad de Negocio - PCN: Procedimientos documentados que guían a las

organizaciones para responder, recuperar, reanudar y restaurar a un nivel pre-definido de
operación debido a la interrupción.

Plan de emergencias: Documento que contempla las acciones e instrucciones que se

deben seguir para responder rápida, eficaz y con el menor traumatismo posible ante una
Emergencia.

Plan de Recuperación de Desastres (DRP, por sus siglas en inglés, Disaster Recovery
Plan): Es la estrategia que se sigue para restablecer los servicios de tecnología (red,
servidores, hardware y software) después de haber sufrido una afectación por un
incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad de negocio.

Prueba: Procedimiento para determinar la presencia, cualidad o veracidad de algo.

7
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

Recurso: Todos los activos, recursos humanos, conocimientos, información, tecnología,

locales y suministros e información que una organización tiene que tener disponibles para
su uso, cuando sea necesario, con el fin de operar y cumplir con su objetivo.

Riesgo: Efecto de la incertidumbre sobre los objetivos.

6. GENERALIDADES

El contenido de este documento sigue las buenas prácticas de la norma ISO 22301, sin
embargo, la Superintendencia Nacional de Salud no adelanta procesos de certificación en
la misma.
El Plan de Continuidad de Negocio de la Entidad se desarrolla en el marco del anexo A17
¨Aspectos de seguridad de la información de la gestión de continuidad de negocio¨ de la
norma ISO 27001, en la cual si se tienen procesos certificados en la SNS.

7. CONTEXTO DE LA ORGANIZACIÓN

La Superintendencia Nacional de Salud establece su contexto de acuerdo con los

usuarios que atiende y a la normatividad que la regula, de igual manera se establecen las
necesidades y expectativas de las partes interesadas en cuanto al Subsistema de
Seguridad de la Información de la Entidad. El Contexto de la Organización está
establecido en la Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de
la Información - ASGU05

7.1 NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

La SNS adopta el modelo de gestión de la continuidad de negocio, dando cumplimiento

con las exigencias establecidas por el gobierno nacional a través del Ministerio de
Tecnologías de la Información y las Comunicaciones MINTIC, con el manual GEL, y el
componente de Seguridad y privacidad de la información

El seguimiento a la implementación del manual GEL, se realiza a través de la herramienta

en línea para el monitoreo, evaluación y control de los resultados institucionales y
sectoriales, llamada Formulario Único Reporte de Avance de la Gestión, FURAG.
Estableciendo así la necesidad de las partes interesadas externas a nivel normativo.

A nivel interno de la SNS se realizan auditorias al Sistema Integrado de Gestión, y a nivel

de la Oficina de Tecnología de la Información, en adelante OTI, se contratan auditorías
externas para los procesos designados en la implementación de la norma ISO27001; en
estas auditorías se evalúa entre otros, el anexo A17 ¨Aspectos de seguridad de la

8
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

información de la gestión de continuidad de negocio¨, relacionado con el objeto de esta

guía.

7.2 ALCANCE DEL SISTEMA DE GESTIÓN

La Entidad tiene 17 agrupaciones de procesos, el plan de continuidad de negocio inicia

abarcando dos agrupaciones, uno misional ¨Protección al usuario y Participación
ciudadana¨ y uno de apoyo ¨Gestión de TICS¨; en el subsistema de gestión de calidad de
la SNS, se establece el mapa de procesos, en donde se resaltan los Macroprocesos
mencionados, ver ilustración 1.

Ilustración 1 Mapa de Procesos SNS.

El plan de continuidad de negocio abarcará las 17 agrupaciones de procesos de la

Entidad, anualmente se ampliará la cobertura hasta abarcar la totalidad de los procesos
de la SNS; el alcance definido para cada año se discrimina dentro del documento:
GGPL01 Plan de Continuidad de Negocio, en adelante PCN.

9
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

8. LIDERAZGO

Dando cumplimiento a las directrices establecidas por el Gobierno Nacional, mediante el

manual GEL, la SNS certifica un proceso misional, ¨Protección al usuario y Participación
ciudadana¨ y uno de apoyo ¨Gestión de TICS¨ con la norma ISO 27001, para lo cual es
requerido establecer el plan de continuidad de negocio respectivo, considerado en el
anexo 17 de la misma norma. De este modo la alta gerencia plasma su compromiso y
participación con el desarrollo de dichas iniciativas.

La entidad manifiesta su intención de implementar y mantener el PCN para toda la

entidad, mediante la destinación anual de recursos para este fin, los cuales son
gestionados y administrados por la OTI.

8.1 COMPROMISO DE LA ALTA DIRECCIÓN

La alta dirección demuestra su liderazgo y compromiso con la gestión del plan de

continuidad de negocio – PCN, de la siguiente manera:

o Garantizando disponibilidad de los recursos necesarios para el PCN, a través del

PAG para la OTI, con la asignación de equipos de computo destinados a soportar el
PCN.
o Comunicando la importancia de la Continuidad de Negocio, mediante la aprobación
de la política de continuidad de negocio, firmada por el superintendente nacional de
salud en el documento ASPO09.
o Dirigiendo y apoyando a las personas que contribuyen a la eficacia del PCN, a través
del jefe de la OTI y el coordinador del grupo de Administración y Seguridad de la
Información.
o Promoviendo mejora continua, mediante la realización de los ejercicios del PCN.

8.2 POLÍTICA

La política definida para el plan de continuidad de negocio se encuentra enmarcada en las

políticas de tercer nivel del subsistema de seguridad de la información, ASPO09,
establecidas dentro del sistema integrado de gestión de la Entidad, es posible acceder a

10
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

dicha política en la página web de SNS https://www.supersalud.gov.co, pestaña

superintendencia, subsistema integrado de gestión, Subsistema de Seguridad en la
Información, Requisitos generales, Políticas; o en la siguiente url:

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-
gestion/subsistema-de-seguridad-en-la-informacion

La política relacionada anteriormente cita: ¨La Entidad debe implementar un Plan de

Continuidad de Negocio, con la finalidad de mitigar el impacto de los incidentes de
interrupción, en los cuales la Entidad no tiene injerencia directa, para lo cual se
establecen las siguientes acciones que permiten recuperar la operación de esta:

a. Se debe establecer un Plan de Continuidad de Negocio con el fin de restaurar la

operación, después de la ocurrencia de un incidente de interrupción mayor, de
acuerdo con el Procedimiento de Continuidad De Negocio GGPD02.
b. Los Planes de Recuperación de Desastres de la Entidad, deben ser probados una
vez al año, por la Oficina de Tecnologías de la Información con la participación de
las áreas pertinentes; con el fin de verificar la efectividad de estos e identificar la
mejora continua del proceso. ¨

8.3 ROLES Y RESPONSABILIDADES

En el sistema Integrado de Gestión se detallan los roles y responsabilidades identificados

para la Entidad, en este documento se relacionan los roles y responsabilidades
específicos para el desarrollo del PCN, los cuales tienen asignadas diferentes
responsabilidades a ejecutar ante un evento de interrupción real y previo a este; la
ilustración 3 relaciona el organigrama de los roles identificados para el PCN.

11
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

COMITE DIRECTIVO

LIDER OTI

LIDER P
CONTINUIDAD DE COORD COORD DE
LIDERES PROCESOS
INFRAESTRUCTURA APLICACIONES
NEGOCIO

FUNCIONARIOS FUNCIONARIOS FUNCIONARIOS

COORDINADOR 1 COORDINADOR 2 COORDINADOR ..n
CRÍTICOS CRÍTICOS CRÍTICOS

FUNCIONARIOS FUNCIONARIOS FUNCIONARIOS

CRÍTICOS CRÍTICOS CRÍTICOS

Ilustración 2 Organigrama PCN – SNS

8.3.1 Comité de Directivo

Tras la ocurrencia de un incidente de interrupción, el Comité operativo de emergencias, en

adelante COE, definido en el Plan de Respuesta ante Emergencia y Contingencia de la
SNS, califica y evalúa el nivel de impacto del incidente y de ser procedente activa el PCN
de la Entidad, de igual forma dará la orden de desactivar el PCN cuando las condiciones
así lo permitan. El COE comunica oficialmente al Jefe de la OTI, para que inicie los
protocolos de activación o desactivación del PCN.

El Comité Operativo de Emergencias está conformado por la alta dirección, la siguiente

tabla relaciona los roles integrantes de dicho comité.

12
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

# ÁREA CARGO

1 Superintendencia Superintendente

Superintendencia Delegada para la Supervisión Superintendente

2
Institucional Delegado
Superintendencia Delegada para las Medidas Superintendente
3
Especiales. Delegado
Superintendente
4 Superintendencia Delegada de procesos administrativos
Delegado
Superintendencia Delegada para la supervisión de Superintendente
5
riesgos Delegado
6 Oficina de Tecnología de la Información Jefe de Oficina
7 Oficina Asesora de Planeación Jefe de Oficina
Tabla 1 Integrantes COE

La decisión de activación y/o desactivación del PCN, según corresponda la toma al menos
una de las siguientes instancias, puede darse por el Comité de Emergencias – COE como
ya se mencionó, o por el señor Superintendente o por el Comité Institucional de Gestión y
Desempeño; dichas instancias definirán los parámetros relacionados con los canales
adecuados de comunicación al interior y exterior de la entidad para funcionarios,
proveedores y terceras partes interesadas, mediante la oficina asesora de
comunicaciones.

8.3.2 Líder Oficina de Tecnologías de la Información

Representado por el Jefe de Tecnología de la Información, gestiona la adquisición de

recursos para soportar el PCN, tiene a su cargo la coordinación de los grupos de trabajo
de la OTI, tanto como coordinación de las funciones en tecnología que pertenezca a
contratistas y/o proveedores de servicios de red y tecnológicos, de este modo realiza la
gestión necesaria para la activación/desactivación del PCN con el proveedor y a nivel
interno de la Entidad, se encarga de presentar los reportes de la operación contingente al
COE.

13
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

8.3.3 Líder del Plan de Continuidad de Negocio

Realiza la recopilación de información necesaria para construir el PCN, identifica,

documenta y socializa las funciones y responsabilidades de los roles del PCN, gestiona
los ejercicios que se deben efectuar al PCN, solicita los recursos necesarios para las
estrategias del PCN, realiza el reporte de los ejercicios de prueba, apoya la operación
contingente durante el incidente, siguiendo las estrategias planteadas en el PCN.

8.3.4 Coordinador Grupo de Infraestructura

Tiene la responsabilidad de Adelantar las gestiones necesarias para que los servicios
tecnológicos de cada uno de los procesos críticos estén disponibles antes, durante y
después de un fallo mayor, verificando la operación del ambiente productivo alterno.

8.3.5 Coordinador Grupo de Aplicaciones

Tiene la responsabilidad de adelantar las gestiones necesarias para que los sistemas de
información críticos de la Entidad estén disponibles antes, durante y después de un fallo
mayor, verificando la disponibilidad de los mismo en el ambiente productivo alterno.

8.3.6 Coordinadores de proceso

Representados por los directores, delegados, jefes de oficina de los procesos críticos en
la Superintendencia Nacional de Salud, los cuales son responsables de establecer el
grado de criticidad de sus procesos durante el proceso de levantamiento de información,
así mismo son responsables de identificar el personal requerido y de respaldo, para
soportar la operación de la Entidad ante un incidente de interrupción mayor y/o durante
los ejercicios de prueba.

8.3.7 Funcionarios Críticos

Son las personas identificadas para soportar el plan de restauración de procesos dentro
del PCN, los cuales tiene la responsabilidad de acatar las instrucciones establecidas por
los líderes de procesos y por el líder PCN relacionadas con la estrategia, la cual se da a
conocer a través de las capacitaciones, deben participar en los ejercicios de prueba bajo
la coordinación del líder PCN.

El establecimiento del punto de restauración de información de los sistemas de

información y el tiempo de restauración, son responsabilidad de los roles antes
relacionados.

9. RECURSOS
14
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

La Entidad realiza la asignación de los recursos necesarios para la implementación y

mantenimiento del PCN, mediante la asignación de recursos por el Plan Anual de Gestión,
los cuales son administrados por la Oficina de Tecnologías de la Información – OTI.
Algunas de las inversiones de la Entidad son: contratación de profesionales calificados,
contratación de servicios tecnológicos con proveedores de tecnología, capacitación a
funcionarios en la norma ISO 22301, compra de equipos de cómputo, portátiles
disponibles para soportar el PCN, arrendamiento de instalaciones alternas, asignación de
recursos para soportar el teletrabajo, entre otros; entre los cuales algunos no requiere de
inversión económica, como lo son los convenios interinstitucionales para contingencias
de operación.

9.1 SENSIBILIZACIÓN Y CAPACITACIÓN

En la Superintendencia Nacional de Salud, se realizan jornadas de sensibilización y

capacitación del Plan de Continuidad de Negocio, las cuales se realizan mínimo 1 vez al
año o si las estrategias definidas en el PCN sufren cambios por variaciones en la
organización de la Entidad y/o en la Infraestructura técnica de la misma.

 Jornadas de sensibilización

Se imparten a toda la Entidad, socializando la política, la importancia del PCN, entre otra
información general del mismo; todos los funcionarios y contratistas son convocados de
forma presencial o virtual vía streaming.

 Jornadas de capacitación

Se imparten al personal identificado para soportar la operación del PCN durante la

ocurrencia de un incidente perjudicial, donde se busca dar a conocer los roles y
responsabilidades definidos en la estrategia del plan, capacitando sobre las diferentes
actividades a realizar por cada rol, en caso de entrar en operación los procedimientos
definidos para la continuidad de negocio.

Se socializan documentos creados para las diferentes estrategias, como protocolos de

activación/desactivación, minutogramas de pruebas, manuales de operación, entre otros,
los cuales son utilizados dentro de los ejercicios de prueba, esta información se encuentra
como anexo en el documento GGPL01.

15
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

9.2 COMUNICACIÓN

Las comunicaciones se manejan según el plan de Prevención, Preparación y Respuesta

ante Emergencias, código STPL01, mediante la oficina asesora de comunicaciones, los
cuales establecen los protocolos de comunicación interna y externa ante la ocurrencia de
un incidente perjudicial. Considerando transmitir la información autorizada por el
Superintendente Nacional de Salud y/o el COE a: las partes interesadas y los empleados,
clientes, otras partes interesadas y medios. En el mantenimiento del PCN en caso de ser
necesario, la oficina asesora de comunicaciones es la encargada de comunicar a nivel
interno y externo los ejercicios de prueba del PCN.

En el desarrollo del PCN, se identifican las partes interesadas externas que se relacionan
con la entidad, las cuales se detallan en la Guía de Contacto con las Autoridades y
Grupos de Interés Especial, con código GGGU01, las cuales son contactadas por las
partes interesadas del PCN según se requiera.

9.3 INFORMACIÓN DOCUMENTADA

En el desarrollo de la gestión de continuidad de negocio se formaliza ante la entidad

mediante el sistema integrado de gestión, con esta guía de cumplimiento de continuidad
de negocio, código GGGU04, el procedimiento PCN, código GGPD02, donde se
establecen los punto de control del mismo y el Plan Continuidad de Negocio PCN, con
código GGPL01, el cual contiene la especificación de la estrategia de operación,
monitoreo y mejora continua del plan de continuidad de negocio establecido para la SNS.

La guía de cumplimiento de continuidad de negocio, código GGGU04 y el Procedimiento

PCN código GGPD02, no incluye información sensible de los procesos de la Entidad y su
contenido se clasifica como público, el Plan de Continuidad de Negocio – PCN, Código
GGPL01 será divulgado parcialmente a las partes interesadas, a través de las
capacitaciones y simulacros del PCN, donde se socializará la estrategia del PCN con los
roles y responsabilidades, el documento completo se considera público clasificado y se
encuentra disponible en la intranet de la Entidad, con acceso restringido para las partes
interesadas.

El PCN Código GGPL01, actualiza la versión cada vez que se incluyan nuevos procesos
en el alcance y/o se realicen cambios considerables en la organización y/o infraestructura
de la Entidad, lo cual se formaliza mediante memorando con la oficina de planeación de la
Entidad dentro del sistema integrado de gestión.

16
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

Los cambios realizados en el PCN se socializan con las partes interesadas durante el
desarrollo del plan de capacitaciones anuales y/o cuando se requiera por actualización del
documento.

10. OPERACIÓN

La Entidad cuenta con diferentes documentos, donde se registra la identificación de los

procesos críticos para la operación de la entidad, los recursos necesarios, la definición de
estrategias y planes de acción; los cuales están contenidos en el Plan de Continuidad de
Negocio – PCN, Código GGPL01.

La documentación del PCN, se actualiza periódicamente incluyendo la mejora continua

del proceso y se encuentra en la biblioteca digital de documentos de la Entidad, carpeta:
Oficina de tecnología de la información, la cual tiene acceso restringido.

10.1 ANÁLISIS DE IMPACTO AL NEGOCIO - BIA

El Análisis de Impacto al Negocio – BIA (Business Impact Analysis), se desarrolla con el

fin de identificar la criticidad y priorización de los diferentes procesos de la entidad
mediante la identificando de los impactos financieros, legales y de imagen, que afectarían
a la entidad en caso de presentarse un incidente perjudicial; esto se realiza mediante la
realización de entrevistas a los diferentes procesos.

La siguiente ilustración contiene la criticidad identificada para los diferentes grupos de

trabajo que soportan la operación de los procesos, señalando en color azul el proceso
misional Protección al Usuario y Participación Ciudadana y en color verde el proceso de
apoyo, Gestión TIC; para los cuales se identifican los recursos mínimos necesarios para la
recuperación de la operación. El consolidado de esta información se encuentra como
anexo del documento GGPL01.

17
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

Ilustración 3 Nivel de criticidad

El BIA anualmente ampliará la cobertura hasta cubrir la totalidad de los procesos de la

SNS; el detalle del análisis se relaciona en el anexo BIA del documento GGPL01 Plan de
Continuidad de Negocio PCN.

En la ejecución del BIA, se realiza la identificación de los factores de riesgo de

interrupción sobre los procesos críticos, usando la matriz de riesgos de activos de
información, relacionada en la Guía Metodológica de Análisis de Riesgos de Seguridad y
Privacidad de la Información, con código ASGU05, con el fin de relacionarlos en el plan de
tratamiento de riesgos permitiendo realizar la respectiva valoración de los riesgos de
interrupción; de este modo es posible identificar las causas que afectan la operación
normal de los servicios.

Con los resultados obtenidos en las entrevistas, el análisis de riesgos y el apoyo de los
grupos de trabajo de la OTI, es posible establecer los criterios para determinar el plan de
recuperación de procesos y el plan de recuperación de TI, identificando los niveles de
recuperación tecnológica requeridos.

18
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

10.2 ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

La Entidad relaciona el establecimiento de sus estrategias ante incidentes de perjudiciales

en el Plan de Continuidad de Negocio, este documento pretende servir como facilitador
para proceder con el manejo adecuado de la información, tareas y actividades necesarias
para facilitar la recuperación ante una interrupción, dando cumplimiento a los
requerimientos de seguridad de la información y/o Informáticos establecidos por la
Entidad, para su adecuada operación.

Las estrategias definidas están basadas en los objetivos de recuperación y necesidades

de recursos identificadas en el BIA, las cuales quedan registradas dentro del Plan de
Continuidad de Negocio – PCN, Código GGPL01, el cual es de conocimiento interno con
acceso restringido, por su connotación público clasificado, dado que contiene guías de
operación específicas, las cuales poseen información detallada de la operación de la
Entidad, esta documentación se encuentra en la biblioteca digital de la Entidad, carpeta:
Oficina de tecnología de la información

La Superintendencia Nacional de Salud, activará las estrategias definidas en el PCN,

según sea la necesidad, si el incidente perjudicial afecta las personas e instalaciones, se
activarán las estrategias relacionadas al plan de recuperación de procesos, si el incidente
perjudicial afecta los sistemas de información, se activarán las estrategias relacionadas al
plan de recuperación tecnológico.

10.2.1 Plan de Recuperación de Procesos

La SNS cuenta con un plan de Prevención, Preparación y Respuesta ante Emergencias -

STPL01 transversal a la entidad, una vez ocurrido un incidente perjudicial que tenga
afectación en las personas e instalaciones, se hace uso de este plan como primera
respuesta al incidente, posterior a esto se realiza la evolución del impacto del incidente,
así el comité directivo toma la decisión de activar o no la estrategia del PCN.
El PCN, identifica las partes interesadas externas que se relacionan con la entidad, las
cuales se detallan en la Guía de Contacto con las Autoridades y Grupos de Interés
Especial, con código GGGU01, las cuales son contactadas durante la operación en
contingencia.
La estrategia definida para la recuperación de procesos del PCN, incluye una
contingencia relacionada con las personas y las instalaciones para soportar la operación
de los procesos críticos de la Entidad.

19
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

Personas e Instalaciones
ESTRATEGIA PERSONAS
*Personal crítico

ESTRATEGIA INSTALACIONES
* Centro de Atención al Ciudadano
* Operación Administrativa
Ilustración 4 Recuperación de procesos

En el análisis de impacto al negocio, se identificaron las personas críticas y el backup de

estas para soportar el PCN, esta información se encuentra en un anexo del documento
GGPL01, donde se especifican los números de contacto personal de estos funcionarios,
dado que es posible requerirlos en horarios no hábiles y es necesario comunicarse con
ellos para comunicar la activación de las estrategias definidas.

En caso de que el incidente perjudicial afecte las instalaciones de operación

administrativas y/o el Centro de Atención al Ciudadano, se consideran las estrategias
planteadas para cada una, donde se tienen considerados recursos como equipos de
cómputo, conectividad a los sistemas de información de la Entidad, divulgación de
estrategia de atención al ciudadano, entre otros.

10.2.2 Plan de Recuperación Tecnológica

En el PCN se define la implementación de procedimientos para permitir la recuperación y

restauración de los sistemas de información críticos, identificados en el BIA tecnológico
(incluido como anexo en el documento GGPL01), logrando así restablecer la
disponibilidad de estos, con las condiciones de Seguridad de la Información establecidas
para la operación.

Sistemas de Información
RESPALDOS TI
* Contingencia
* Activación DRP
Ilustración 5 Recuperación Tecnológica

20
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

Uno de los esquemas de respaldo considerados para soportar la continuidad tecnológica

de la Entidad, está planteado con acciones de contingencia, representadas con copias de
seguridad de Bases de Datos, copias de las Máquinas virtuales de los servidores de
aplicación, entre otros, dichos respaldos se garantizan con independencia de hardware.

En caso de que el incidente perjudicial afecte la totalidad del centro de datos principal, la
Entidad hará uso del Plan de Recuperación de Desastres – DRP, establecido con el
Centro Alterno de Datos, el cual se encuentra ubicado en una ciudad diferente a la
ubicación del Centro de Datos Principal.

Ilustración 6 Replicación Tecnológica

En el PCN se encuentra como anexo, la documentación técnica relacionada al

procedimiento de activación del Plan de Restauración de Desastres tecnológico – DRP.

10.2.3 Retorno a Operación con normalidad

La Superintendencia Nacional de Salud, retornará a la operación normal de sus sistemas

de información y procesos, una vez sea determinado por el comité de emergencias -
COE, el Superintendente y/o el Comité de desarrollo Institucional - CDI, impartiendo la
decisión de desactivar el PCN, dicha acción es comunicada al Jefe de la OTI, quien
utilizará los protocolos respectivos a nivel interno de la Entidad y con los diferentes
proveedores para retornar a la operación normal.

El líder del PCN, utilizará el protocolo de comunicaciones con la oficina asesora de

comunicaciones, para contactar los funcionarios y convocarlos para la restauración de
actividades, así mismo divulgará externamente la normalización de la operación.

La Superintendencia Nacional de Salud, enfoca sus esfuerzos en promover la resiliencia

organizacional entre sus funcionarios, desarrollando estrategias que le permitan a la

21
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

Entidad tener la capacidad de recuperarse tras la ocurrencia de un incidente perjudicial,

recuperando la operación en situaciones cambiantes.

10.3 EJERCICIOS Y PRUEBAS

Se realizan los ejercicios y pruebas del PCN 2 veces al año, según plan de pruebas
definido entre el líder del PCN y las áreas participantes de la Entidad, durante la ejecución
de estas se utilizan algunos anexos del documento GGPL01, como: minutogramas,
protocolos, guías de procedimientos, entre otros.

Posterior a la ejecución de las pruebas se incluye como anexo al documento GGPL01, los
informes resultado de los ejercicios de prueba del PCN usando el formato COFL02.

11. MEJORA CONTINUA

Se identifican oportunidades de mejora del PCN, con el registro de las lecciones

aprendidas, identificación de puntos de falla, optimización de los minutogramas de las
pruebas, protocolos, guías y procedimientos, entre otros, realizando evaluación de
proceso y en general con los resultados de los ejercicios de prueba realizados.

La mejora continua del PCN de la Entidad, también se da gracias a la asignación de

recursos, los cuales permiten ampliar la capacidad de respuesta ante un incidente
perjudicial, lo cual conlleva a modificar la estrategia generando versionamiento de las
guías y protocolos definidos dentro del plan.

12. REFERENCIAS BIBLIOGRAFICAS

En el contexto de la entidad se identifican las siguientes leyes a las cuales se les da

cumplimiento con la creación desarrollo y mejora continua del plan de continuidad de
negocio.

 Ley 1266 DE 2008 Artículo 1°. Objeto. La presente Ley tiene por objeto
desarrollar el derecho constitucional que tienen todas las personas a conocer,
actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos
de datos, y los demás derechos, libertades y garantías constitucionales relacionadas
con la recolección, tratamiento y circulación de datos personales a que se refiere el
artículo 15 de la Constitución Política, así como el derecho a la información
establecido en el artículo 20 de la Constitución Política, particularmente en relación
con la información financiera y crediticia, comercial, de servicios y la proveniente de
terceros países.

22
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

 Ley 1273 de 2009 Artículo 1°. Adicionase el Código Penal con un Título VII BIS
denominado "De la Protección de la información y de los datos", del siguiente tenor:
CAPITULO PRIMERO de los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos y CAPITULO SEGUNDO de
los atentados informáticos y otras infracciones.

 Ley 1581 de 2012 (Habeas Data) Por la cual se dictan disposiciones generales
para la protección de datos. Esta ley busca proteger los datos personales registrados
en cualquier base de datos que permite realizar operaciones, tales como recolección,
almacenamiento, uso, circulación o supresión por parte de entidades de naturaleza
pública y privada, sin embargo, a los datos financieros se les continúa aplicando la
Ley 1266 de 2008, excepto los principios.
 Decreto 1078 del 26 de mayo de 2015 Artículo 2.2.9.1.2.1. Componentes. Los
fundamentos de la estrategia serán desarrollados a través de 4 componentes que
facilitarán la masificación de la oferta y la demanda de Gobierno En Línea. 4.
Seguridad y privacidad de la Información.

 Decreto 2573 de 12 de diciembre de 2014 Artículo 5. Componentes. Los

fundamentos de la estrategia serán desarrollados a través de 4 componentes que
facilitarán la masificación de la oferta y la demanda de Gobierno En Línea. 4.
Seguridad y privacidad de la Información.

 Ley 87 de 1993 “por la cual se establecen normas para el ejercicio del control interno
en las entidades y organismos del Estado y se dictan otras disposiciones” Proteger
los recursos de la organización buscando su adecuada administración ante posibles
riesgos que los afectan.
Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las
desviaciones que se presenten en la organización y que puedan afectar el logro de
los objetivos
 Ley 734 de 2002 “por la cual se expide el Código Disciplinario Único” Artículo
34. Deberes. Son deberes de todo servidor público: 5. Custodiar y cuidar la
documentación e información que por razón de su empleo, cargo o función conserve
bajo su cuidado o a la cual tenga acceso, e impedir o evitar la sustracción,
destrucción, ocultamiento o utilización indebidos.

 Ley 734 de 2002. Artículo 48. Faltas gravísimas. Son faltas gravísimas las siguientes:
43. Causar daño a los equipos estatales de informática, alterar, falsificar, introducir,
borrar, ocultar o desaparecer información en cualquiera de los sistemas de
información oficial contenida en ellos o en los que se almacene o guarde la misma, o
permitir el acceso a ella a personas no autorizadas.
23
 GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO

 Ley 1712 de 2014 Regula el derecho de acceso a la información pública, los

procedimientos para el ejercicio y garantías del derecho y las excepciones a la
publicidad de la información. Toda persona puede conocer sobre la existencia y
acceder a la información pública en posesión o bajo control de los sujetos obligados.
El acceso a la información solamente podrá ser restringido excepcionalmente.

Los documentos guía para la elaboración del plan de continuidad de negocio de la

Entidad son:
o NTC ISO-22301:2012 Continuidad de Negocio. Sistemas de gestión de
Continuidad de Negocio. Requisitos.
o NTC ISO-IEC 27001:2013 Tecnología de la Información. Técnicas de Seguridad.
Sistemas de Gestión de la Seguridad de la Información Requisitos.
o Guía para la preparación de las TIC para la continuidad de negocio, MINTIC.
o Guía para realizar el Análisis de Impacto de Negocios BIA, MINTIC.
o Guía: Controles de Seguridad y Privacidad de la Información, MINTIC.

CONTROL DE CAMBIOS
ASPECTOS
QUE RESPONSAB FECHA DEL
CAMBIARO DETALLES DE LOS LE DE LA CAMBIO VERSIÓ
N EN EL CAMBIOS EFECTUADOS SOLICITUD DD/MM/AA N
DOCUMEN DEL CAMBIO AA
TO
Se solicita creación mediante
memorando NURC: 3-2018-
Jefe Oficina de
Adopción 009260.
Tecnologías
del 22/06/2018 1
de la
documento Se aprueba mediante
Información
memorando NURC: 3-2018-
010440.

24