GUIA DE CUMPLIMIENTO DE
CONTINUIDAD DE NEGOCIO
BOGOTÁ D.C.
2018
CONTENIDO
1
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
1. OBJETIVO...............................................................................................................................5
2. ALCANCE................................................................................................................................6
3. AMBITO DE APLICACIÓN....................................................................................................6
4. REQUISITOS DE CALIDAD APLICABLE..........................................................................6
5. DEFINICIONES.......................................................................................................................6
6. GENERALIDADES.................................................................................................................8
7. CONTEXTO DE LA ORGANIZACIÓN.................................................................................8
7.1 NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS..............8
7.2 ALCANCE DEL SISTEMA DE GESTIÓN..................................................................9
8. LIDERAZGO..........................................................................................................................10
8.1 COMPROMISO DE LA ALTA DIRECCIÓN..............................................................10
8.2 POLÍTICA......................................................................................................................11
8.3 ROLES Y RESPONSABILIDADES...........................................................................11
8.3.1 Comité de Directivo...............................................................................................12
8.3.2 Líder Oficina de Tecnologías de la Información.............................................13
8.3.3 Líder del Plan de Continuidad de Negocio......................................................14
8.3.4 Coordinador Grupo de Infraestructura.............................................................14
8.3.5 Coordinador Grupo de Aplicaciones................................................................14
8.3.6 Coordinadores de proceso..................................................................................14
8.3.7 Funcionarios Críticos...........................................................................................14
9. RECURSOS...........................................................................................................................15
9.1 SENSIBILIZACIÓN Y CAPACITACIÓN....................................................................15
9.2 COMUNICACIÓN.........................................................................................................16
9.3 INFORMACIÓN DOCUMENTADA............................................................................16
10. OPERACIÓN..........................................................................................................................17
10.1 ANÁLISIS DE IMPACTO AL NEGOCIO - BIA........................................................17
10.2 ESTRATEGIA DE CONTINUIDAD DE NEGOCIO..................................................19
10.2.1 Plan de Recuperación de Procesos..............................................................19
10.2.2 Plan de Recuperación Tecnológica...............................................................20
2
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
3
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
INDICE DE FIGURAS
4
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
INDICE DE TABLAS
5
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
1. OBJETIVO
Definir, documentar y socializar la metodología de gestión del plan de continuidad
del negocio, desarrollando los factores de éxito para la implementación de este.
Identificar la acciones planeadas y orientadas al logro de los objetivos estratégicos de la
entidad, las cuales permitan establecer la continuidad de sus operaciones.
2. ALCANCE
Este documento contiene los requisitos considerados dentro de la Norma ISO 22301, con
los componentes claves del Plan de Continuidad de Negocio aplicados dentro de la
Superintendencia Nacional de Salud, dando cumplimento al anexo A17 ¨Aspectos de
seguridad de la información de la gestión de continuidad de negocio¨ de la norma ISO
27001
3. AMBITO DE APLICACIÓN
La estrategia establecida con el uso de esta guía define la forma en la cual operará la
Entidad ante un desastre, para continuar prestando sus servicios en la sede principal de la
SNS en la ciudad de Bogotá y pueda seguir prestando la disponibilidad de sus sistemas
de información.
5. DEFINICIONES
6
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
Análisis de Impacto al Negocio (BIA, por sus siglas en inglés, Business Impact
Analisys): Proceso del análisis de actividades y el efecto que una interrupción de negocio
podría tener sobre ellas.
Incidente: Situación que sería o podría llevar a una interrupción, pérdida, emergencia o
crisis.
Plan de Recuperación de Desastres (DRP, por sus siglas en inglés, Disaster Recovery
Plan): Es la estrategia que se sigue para restablecer los servicios de tecnología (red,
servidores, hardware y software) después de haber sufrido una afectación por un
incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad de negocio.
7
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
6. GENERALIDADES
El contenido de este documento sigue las buenas prácticas de la norma ISO 22301, sin
embargo, la Superintendencia Nacional de Salud no adelanta procesos de certificación en
la misma.
El Plan de Continuidad de Negocio de la Entidad se desarrolla en el marco del anexo A17
¨Aspectos de seguridad de la información de la gestión de continuidad de negocio¨ de la
norma ISO 27001, en la cual si se tienen procesos certificados en la SNS.
7. CONTEXTO DE LA ORGANIZACIÓN
8
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
9
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
8. LIDERAZGO
8.2 POLÍTICA
10
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-
gestion/subsistema-de-seguridad-en-la-informacion
11
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
COMITE DIRECTIVO
LIDER OTI
LIDER P
CONTINUIDAD DE COORD COORD DE
LIDERES PROCESOS
INFRAESTRUCTURA APLICACIONES
NEGOCIO
12
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
# ÁREA CARGO
1 Superintendencia Superintendente
La decisión de activación y/o desactivación del PCN, según corresponda la toma al menos
una de las siguientes instancias, puede darse por el Comité de Emergencias – COE como
ya se mencionó, o por el señor Superintendente o por el Comité Institucional de Gestión y
Desempeño; dichas instancias definirán los parámetros relacionados con los canales
adecuados de comunicación al interior y exterior de la entidad para funcionarios,
proveedores y terceras partes interesadas, mediante la oficina asesora de
comunicaciones.
13
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
Tiene la responsabilidad de Adelantar las gestiones necesarias para que los servicios
tecnológicos de cada uno de los procesos críticos estén disponibles antes, durante y
después de un fallo mayor, verificando la operación del ambiente productivo alterno.
Tiene la responsabilidad de adelantar las gestiones necesarias para que los sistemas de
información críticos de la Entidad estén disponibles antes, durante y después de un fallo
mayor, verificando la disponibilidad de los mismo en el ambiente productivo alterno.
Representados por los directores, delegados, jefes de oficina de los procesos críticos en
la Superintendencia Nacional de Salud, los cuales son responsables de establecer el
grado de criticidad de sus procesos durante el proceso de levantamiento de información,
así mismo son responsables de identificar el personal requerido y de respaldo, para
soportar la operación de la Entidad ante un incidente de interrupción mayor y/o durante
los ejercicios de prueba.
Son las personas identificadas para soportar el plan de restauración de procesos dentro
del PCN, los cuales tiene la responsabilidad de acatar las instrucciones establecidas por
los líderes de procesos y por el líder PCN relacionadas con la estrategia, la cual se da a
conocer a través de las capacitaciones, deben participar en los ejercicios de prueba bajo
la coordinación del líder PCN.
9. RECURSOS
14
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
Jornadas de sensibilización
Se imparten a toda la Entidad, socializando la política, la importancia del PCN, entre otra
información general del mismo; todos los funcionarios y contratistas son convocados de
forma presencial o virtual vía streaming.
Jornadas de capacitación
15
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
9.2 COMUNICACIÓN
En el desarrollo del PCN, se identifican las partes interesadas externas que se relacionan
con la entidad, las cuales se detallan en la Guía de Contacto con las Autoridades y
Grupos de Interés Especial, con código GGGU01, las cuales son contactadas por las
partes interesadas del PCN según se requiera.
El PCN Código GGPL01, actualiza la versión cada vez que se incluyan nuevos procesos
en el alcance y/o se realicen cambios considerables en la organización y/o infraestructura
de la Entidad, lo cual se formaliza mediante memorando con la oficina de planeación de la
Entidad dentro del sistema integrado de gestión.
16
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
Los cambios realizados en el PCN se socializan con las partes interesadas durante el
desarrollo del plan de capacitaciones anuales y/o cuando se requiera por actualización del
documento.
10. OPERACIÓN
17
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
Con los resultados obtenidos en las entrevistas, el análisis de riesgos y el apoyo de los
grupos de trabajo de la OTI, es posible establecer los criterios para determinar el plan de
recuperación de procesos y el plan de recuperación de TI, identificando los niveles de
recuperación tecnológica requeridos.
18
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
19
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
Personas e Instalaciones
ESTRATEGIA PERSONAS
*Personal crítico
ESTRATEGIA INSTALACIONES
* Centro de Atención al Ciudadano
* Operación Administrativa
Ilustración 4 Recuperación de procesos
Sistemas de Información
RESPALDOS TI
* Contingencia
* Activación DRP
Ilustración 5 Recuperación Tecnológica
20
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
En caso de que el incidente perjudicial afecte la totalidad del centro de datos principal, la
Entidad hará uso del Plan de Recuperación de Desastres – DRP, establecido con el
Centro Alterno de Datos, el cual se encuentra ubicado en una ciudad diferente a la
ubicación del Centro de Datos Principal.
21
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
Se realizan los ejercicios y pruebas del PCN 2 veces al año, según plan de pruebas
definido entre el líder del PCN y las áreas participantes de la Entidad, durante la ejecución
de estas se utilizan algunos anexos del documento GGPL01, como: minutogramas,
protocolos, guías de procedimientos, entre otros.
Posterior a la ejecución de las pruebas se incluye como anexo al documento GGPL01, los
informes resultado de los ejercicios de prueba del PCN usando el formato COFL02.
Ley 1266 DE 2008 Artículo 1°. Objeto. La presente Ley tiene por objeto
desarrollar el derecho constitucional que tienen todas las personas a conocer,
actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos
de datos, y los demás derechos, libertades y garantías constitucionales relacionadas
con la recolección, tratamiento y circulación de datos personales a que se refiere el
artículo 15 de la Constitución Política, así como el derecho a la información
establecido en el artículo 20 de la Constitución Política, particularmente en relación
con la información financiera y crediticia, comercial, de servicios y la proveniente de
terceros países.
22
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
Ley 1273 de 2009 Artículo 1°. Adicionase el Código Penal con un Título VII BIS
denominado "De la Protección de la información y de los datos", del siguiente tenor:
CAPITULO PRIMERO de los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos y CAPITULO SEGUNDO de
los atentados informáticos y otras infracciones.
Ley 1581 de 2012 (Habeas Data) Por la cual se dictan disposiciones generales
para la protección de datos. Esta ley busca proteger los datos personales registrados
en cualquier base de datos que permite realizar operaciones, tales como recolección,
almacenamiento, uso, circulación o supresión por parte de entidades de naturaleza
pública y privada, sin embargo, a los datos financieros se les continúa aplicando la
Ley 1266 de 2008, excepto los principios.
Decreto 1078 del 26 de mayo de 2015 Artículo 2.2.9.1.2.1. Componentes. Los
fundamentos de la estrategia serán desarrollados a través de 4 componentes que
facilitarán la masificación de la oferta y la demanda de Gobierno En Línea. 4.
Seguridad y privacidad de la Información.
Ley 87 de 1993 “por la cual se establecen normas para el ejercicio del control interno
en las entidades y organismos del Estado y se dictan otras disposiciones” Proteger
los recursos de la organización buscando su adecuada administración ante posibles
riesgos que los afectan.
Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las
desviaciones que se presenten en la organización y que puedan afectar el logro de
los objetivos
Ley 734 de 2002 “por la cual se expide el Código Disciplinario Único” Artículo
34. Deberes. Son deberes de todo servidor público: 5. Custodiar y cuidar la
documentación e información que por razón de su empleo, cargo o función conserve
bajo su cuidado o a la cual tenga acceso, e impedir o evitar la sustracción,
destrucción, ocultamiento o utilización indebidos.
Ley 734 de 2002. Artículo 48. Faltas gravísimas. Son faltas gravísimas las siguientes:
43. Causar daño a los equipos estatales de informática, alterar, falsificar, introducir,
borrar, ocultar o desaparecer información en cualquiera de los sistemas de
información oficial contenida en ellos o en los que se almacene o guarde la misma, o
permitir el acceso a ella a personas no autorizadas.
23
GOBIERNO Y
PROCESO GESTIÓN DE LA CÓDIGO GGGU0
INFORMACIÓN 4
GUIA DE
GUIA CUMPLIMIENTO DE VERSIÓN 1
CONTINUIDAD DE
NEGOCIO
CONTROL DE CAMBIOS
ASPECTOS
QUE RESPONSAB FECHA DEL
CAMBIARO DETALLES DE LOS LE DE LA CAMBIO VERSIÓ
N EN EL CAMBIOS EFECTUADOS SOLICITUD DD/MM/AA N
DOCUMEN DEL CAMBIO AA
TO
Se solicita creación mediante
memorando NURC: 3-2018-
Jefe Oficina de
Adopción 009260.
Tecnologías
del 22/06/2018 1
de la
documento Se aprueba mediante
Información
memorando NURC: 3-2018-
010440.
24