PLAN DE CONTINGENCIA DE SISTEMAS DE INFORMACION FORMULACION

PLAN DE CONTINGENCIA DE SISTEMAS DE

INFORMACION

VERSION 1.0

CARTAGENA DE
INDIAS

2022
PLAN DE CONTINGENCIA DE SISTEMAS DE INFORMACION
PASTO SALUD E.S.E.

ELABORO

ANALUISA
Jefe Oficina Asesora de Comunicaciones y Sistemas

San Juan de Pasto

2019
 TABLA DE CONTENIDO

FORMATO 225 DEL 1 DE AGOSTO DE 2019 5

CONTROL DE CAMBIOS 6
INTRODUCCIÓN 7
1. OBJETIVOS 8
1.1 OBJETIVO GENERAL 8
1.2 OBJETIVOS ESPECÍFICOS 8
1.3 ALCANCE 8
2. MARCO LEGAL 9
3. MANEJO DE CONTINGENCIA 10
3.1 EQUIPAMIENTO NECESARIO PARA LA CONTINGENCIA 10
3.2 ACTIVACIÓN DE LA CONTINGENCIA 10
3.2.1 Sistema de Registros clínicos de SIOS no responde: 11
3.2.2 No hay suministro eléctrico 11
3.2.3 Fallos en horarios nocturnos 12
3.2.4 Restablecimiento del sistema de información 12
3.2.5 Pruebas del Plan de Contingencia 12
3.2.6 Informe después de la prueba del Plan de Contingencia 13
4. ACTIVIDADES DESPUÉS DE UN DESASTRE 14
4.1 EVALUACIÓN DE DAÑOS 14
4.2 PREPARACIÓN DE ACTIVIDADES DEL PLAN DE ACCIÓN 14
4.3 EJECUCIÓN DE ACTIVIDADES 14
4.4 EVALUACIÓN DE LOS RESULTADOS 15
4.5 RETROALIMENTACIÓN DEL PLAN DE CONTINGENCIA 15
4.6 RETROALIMENTACIÓN DEL PLAN DE CONTINGENCIA 15
5. ANÁLISIS DE RIESGOS 16
5.1 CONDICIONES GENERALES 16
5.2 MATRIZ DE RIESGO 16
5.3 PLAN DE RESPALDO 18
6. PLAN DE EMERGENCIA INFORMÁTICO Y RECUPERACIÓN POR DESASTRES 20
6.1 SISTEMAS DE INFORMACIÓN 20
6.2 TIEMPO DE INACTIVIDAD O DOWNTIME 20
6.3 SISTEMAS DE INFORMACIÓN ACTIVOS 22
6.4 PROVEEDORES DE SERVICIOS DE CÓMPUTO Y COMUNICACIONES 23
6.5 COPIAS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN. 24
7. GESTIÓN DE INCIDENTES 25
7.1 OBJETIVOS 25
7.2 CUADRO DE ESCALAMIENTO 25
7.3 CUADRO NIVELES DE SERVICIOS 25
7.4 CUADRO DE NIVELES DE ATENCIÓN 26
8. PLAN DE CONTINGENCIA PARA LA PRESTACIÓN DEL SERVICIO 27
8.1 REPORTE 27
8.2 REGISTRO 27
8.3 COMUNICARSE CON OFICINA ASESORA COMUNICACIONES Y SISTEMAS 27
8.4 COMUNICARLE A TODOS LOS USUARIOS AFECTADOS 27
9. DESCRIPCIÓN DE LA ACTIVIDAD 28
9.1 REPORTE DEL PROBLEMA 28
9.2 PROCESO DE RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO 29
10. SIMULACRO PARA VERIFICAR LA EFICIENCIA Y EFECTIVIDAD DEL PLAN DE
CONTINGENCIA. 32
11. LISTA DE VERIFICACIÓN PLAN DE CONTINGENCIA 33
12. CRONOGRAMA PARA LA EJECUCIÓN DEL PLAN 35
13. GLOSARIO 36
BIBLIOGRAFÍA
 CONTROL DE CAMBIOS

E: Elaboración del documento M:

Modificación del documento X:
Eliminación del documento

INFORMACION DE CAMBIOS
Acto Administrativo
Versión CONTROL DE CAMBIOS Actividades o Justificación del de Adopción
E M X cambio Elaboró / Actualizó

Justificación: El presente Solicitud de creación,

documento se crea teniendo en cuenta modificación o
el manual de acreditación versión 3.1 William Montenegro eliminación de
Creación Plan de
de acuerdo a los estándares de Guevara documentos o
6.0 Contingencia de X gerencia de la información y para dar registros GSI-MDR-
Sistemas de
cumplimiento a la normatividad del 225 del 1 de Agosto
Información.
Ministerio de las TICS de 2019
 INTRODUCCIÓN

El plan de contingencia de Sistemas de información de la Empresa Social del Estado Pasto

Salud E.S.E, es un documento que establece los lineamientos de respuesta para atender en
de manera oportuna, eficiente y eficaz, la indisponibilidad del servicio de las tecnologías de
la información ocasionadas por daños en equipos de cómputo, desastres, eventos naturales
u otros, a causa de algún incidente tanto interno como externo a tecnologías de
información. Durante el desarrollo del presente Plan, se presentan las actividades propias de
gestión de contingencia que debe considerar todas las sedes de Pasto Salud E.S.E,
cubriendo así los incidentes que afecten el sistema de información. Así mismo aspectos
conceptuales que permitan un mayor panorama acerca del entendimiento de las
contingencias y que servirán como marco de referencia, para la elaboración de las políticas,
normas y procedimientos de contingencia.

La elaboración del plan de contingencia implica un importante avance a la hora de superar

situaciones de interrupción de las actividades y servicios prestados por Pasto Salud E.S.E.
Es indispensable para el éxito del plan de contingencia, contar con personal capacitado y
comprometido con la institución.
 1. OBJETIVOS

1.1 OBJETIVO GENERAL

Definir las acciones y procedimientos necesarios para garantizar la rápida y oportuna

recuperación y puesta en operación de los sistemas de información y servicios informáticos
que apoyan el cumplimiento de la misión de la entidad y los procesos administrativos
críticos, frente a la posible ocurrencia de incidentes de tipo Natural o tecnológico que
comprometa total o parcialmente la prestación de los servicios informáticos de la
Empresa Social del estado Pasto Salud E.S.E.

1.2 OBJETIVOS ESPECÍFICOS

 Identificar las aplicaciones y las plataformas consideradas críticas para la

operación de la empresa.

 Identificar y mitigar los riesgos a los que se encuentra expuesta la plataforma

tecnológica de la Unidad.

 Restablecer el funcionamiento de los sistemas de información en el menor tiempo

posible dependiendo de la anomalía que se presente.

 Establecer un plan de prueba, gestión y mantenimiento necesarias para garantizar

los objetivos del Plan que garanticen el éxito de los procesos y procedimientos
contenidos en el plan de contingencias, aumentando niveles de confiabilidad y
disponibilidad de los sistemas y servicios informáticos de Pasto Salud E.S.E.

 Mantener la prestación de los servicio a los usuarios, en el nivel aceptable.

1.3 ALCANCE

El Plan de Contingencia de Sistemas de Información para Pasto Salud E.S.E., cubre la

infraestructura de telecomunicaciones, software y sistemas de información; también se da
tratamiento y solución a los riesgos, relacionados con la operación de los procesos de
Tecnologías de la Información y las Comunicaciones; las actividades, están relacionados
con las actividades establecidas para cada uno de los procedimientos de TI.

Este plan abarca las etapas de notificación de la indisponibilidad del servicio hasta su
restablecimiento, evaluación y gestión.
 2. MARCO LEGAL

 Norma NTC-ISO 27001, Seguridad de la Información

 Decreto 2157 de 2017 - por medio del cual se adoptan directrices generales para la
elaboración del plan de gestión del riesgo de desastres de las entidades públicas y
privadas en el marco del artículo 42 de la ley 1523 de 2012.
 Ley 46 de 1988 - Se crea y organiza el Sistema Nacional para la Prevención y
Atención de Desastres, artículo 3 numeral d) Los sistemas integrados de
información y comunicación a nivel nacional, regional y local.
 Decreto Ley 919 de 1989, “Por el cual se organiza el Sistema Nacional para la
Prevención y Atención de Desastres y se dictan otras disposiciones”, artículo 3
numeral d) Los sistemas integrados de información y comunicación a nivel
nacional, regional y local.
 Guía Técnica Colombiana 202 de 2006, Sistema de Gestión de Continuidad del
Negocio.
 3. MANEJO DE CONTINGENCIA

Pasto Salud ESE, dispone de un sistema de información el cual integra toda la información
de los procesos de apoyo y misionales, la información que se produce en cada uno de estos
módulos, se almacena en base de datos desde donde se recupera para su uso.

En la actualidad las actividades operativas desde cada puesto de trabajo hacen uso del
sistema de información electrónico, para prestar los diferentes servicios administrativos y
misionales y se pueden ver afectadas por cualquier interrupción de tipo técnico que hace
que el sistema de información no funcione.

En este momento se podría presentar un alto en las actividades que se realizan, por cuanto
no se dispone del sistema de información para registrar los datos.

Es en este momento cuando la organización debe disponer de un plan de contingencia que

le permita continuar con la prestación de los servicios sin que el usuario se vea afectado.

Lo que se espera es minimizar en lo posible el impacto de la indisponibilidad del sistema de

información sobre la prestación del servicio al usuario.

3.1 EQUIPAMIENTO NECESARIO PARA LA CONTINGENCIA

Para el funcionamiento adecuado de este plan de contingencia es necesario determinar

cuáles son los servicios más críticos y que se puede ver afectados de no tener un plan de
contingencia. A continuación, se establecen los servicios más críticos del área
administrativa y asistencial, estos son:

 Facturación
 Servicio de consulta externa
 Servicio de urgencias
 Servicio de Hospitalización

3.2 ACTIVACIÓN DE LA CONTINGENCIA

La activación del plan de contingencia se presenta de manera inmediata una vez se haya
presentado la falla del sistema de información. Hemos identificado las siguientes
posibilidades como causas principales de fallo en los Sistemas de Información en los
servicios de Facturación, Consulta externa, Hospitalización y Urgencias.
  Sistema de Registros clínicos de SIOS no responde
 No hay suministro eléctrico

A continuación, se abordan cada una de estas causas:

3.2.1 Sistema de Registros clínicos de SIOS no responde:

Durante el proceso de atención de un usuario en cualquier servicio de salud, la persona que

está registrando información en el registro clínico se da cuenta que al hacer clic en algún
ítem o guardar los respectivos datos muestra una pantalla que informa que no se puede
acceder al sitio. Esto es síntoma de que efectivamente ocurrió una caída de la conectividad
al tratar de acceder al servidor principal donde se encuentra alojada la historia clínica.
Inmediatamente se notifica vía spark al ingeniero de la IPS, quien realiza las respectivas
pruebas para verificar si el daño es una caída de conectividad. Una vez confirmado
mediante pruebas técnicas que existe un problema de conectividad y hay indisponibilidad
del sistema de información SIOS, inmediatamente se notifica vía telefónica, spark y
notificación de ticket por caída de conectividad a la Oficina de Comunicaciones y Sistemas
para solicitar a la mesa de ayuda verificar y resolver el problema.

El profesional Universitario quien atiende el incidente, hace el diagnóstico y notifica a la

IPS informando el tiempo promedio en el cual se reestablece el sistema.

Se ha definido como tiempo promedio de 10 minutos en los cuales las IPS esperan para
activar el plan de contingencia de no reestablecerse el servicio, por cuanto puede obedecer
a un daño técnico que amerite mucho más tiempo para restablecer el servicio.

Una vez activado el plan de contingencia inmediatamente el profesional de la salud toma

el respectivo registró clínico físico y procede a su diligenciamiento teniendo en cuenta cada
uno de los campos que son obligatorios y que permitirán medir la calidad del dato.

Los registros clínicos deben ser organizados de tal manera que una vez reanudado el
servicio se ingresen los registros clínicos al sistema.

3.2.2 No hay suministro eléctrico:

En los casos de fallo en el suministro eléctrico el tiempo promedio para activar el plan de
contingencia es de 5 minutos, pasado este tiempo se activa el plan siguiendo el mismo
procedimiento como en el caso anteriormente mencionado.
3.2.3 Fallos en horarios nocturnos:

Cuando el fallo del sistema se presenta en horas de la noche entre las 7:00 PM y las 7: AM
en cualquiera de las IPS que tienen servicio 24 horas. Desde el servicio de Caja de
Urgencias informarán en primera instancia a la central de radiocomunicaciones de turno
quien a su vez informará al Jefe de la Oficina de comunicaciones quien revisará el caso e
inmediatamente, determinará si se activa el plan de contingencia, hasta que a primera hora
se pueda hacer el diagnóstico y solucionar el inconveniente. Si el caso es posible
solucionarlo de inmediato se atenderá el caso.

La oficina de Sistemas mediante la plataforma Ostickets llevará el registro de los incidentes

técnicos que se presenten, para establecer mejoras y evitar que estos eventos se presenten
con frecuencia.

3.2.4 Restablecimiento del Sistema de Información:

Una vez restablecido el sistema, se debe retornar el paso inmediato a manejo en sistema
electrónico.

Los registros generados tanto medico como de personal de apoyo debe ser trascritos en el
sistema por el profesional que género el registro.
Los registros de órdenes médicas deben ser trascritos al sistema inmediatamente se
reestablece este.

3.2.5 Pruebas del Plan de Contingencia:

El Responsable de Seguridad de la Información, en coordinación con la Subgerencia de

Salud y las direccione operativas, se llevarán a cabo anualmente una prueba del plan por el
sistema de simulación, prueba sobre la mesa con escenario de desastres simulados, en el
que se representa la situación de parada de los sistemas sin activar los procedimientos
correspondientes. Se probará el conocimiento de los profesionales respecto del
procedimiento y se comprobará que en las ubicaciones donde se llevan a cabo la prestación
de los servicios a los pacientes están dotadas adecuadamente de los formularios necesarios
y el equipamiento previsto. Se generará un CheckList de verificación del plan. La prueba la
realizará personal de la Oficina de Comunicaciones y Sistemas junto con el Responsable de
Seguridad de la Información, ingenieros de la red de prestadores quienes verificarán la
integridad y precisión del plan, el conocimiento del personal implicado en la prueba
respecto de los procedimientos y la coordinación entre los profesionales. El Responsable de
Seguridad de la Información analizará los resultados y emitirá el informe correspondiente
incluyendo las deficiencias detectadas en su caso y las recomendaciones oportunas.
3.2.6 Informe después de la prueba del Plan de Contingencia:

Se realizará un informe donde se detallen todas las actividades y tiempos que fueron
empleados en la realización de las pruebas. Estas pruebas serán simulacros 2 al año que se
realizarán con el fin de revisar la respuesta ante un eventual siniestro de tecnología en bases
de datos y servidores.

Posteriormente se retroalimentará al personal de ingenieros de las IPS con el fin de

analizar la respuesta que se obtuvo y de paso establecer mejoras en tiempos de respuesta,
recursos etc.
 4. ACTIVIDADES DESPUÉS DE UN DESASTRE

Después de ocurrido un siniestro o desastre es necesario realizar actividades que se detallan

a continuación:

a) Evaluación de daños
b) Priorizar actividades el plan de acción
c) Ejecución de actividades
d) Evaluación de resultados
e) Retroalimentación del plan de acción

4.1 EVALUACIÓN DE DAÑOS

Inmediatamente después que el siniestro ha concluido, se debe evaluar la magnitud del

daño que se ha producido, que sistemas y equipos se afectaron, que tecnología quedo no
operativa, cuales se pueden recuperar y en qué tiempos.

Adicionalmente se deberá presentar un informe muy detallado de lo ocurrido a la gerencia.

4.2 PREPARACIÓN DE ACTIVIDADES DEL PLAN DE ACCIÓN

Se deben planear acciones urgentes y prioritarias teniendo en cuenta la prestación del

servicio.

4.3 EJECUCIÓN DE ACTIVIDADES

La ejecución de actividades implica la creación de grupos de trabajo, para realizar las

actividades previamente planificadas en el Plan de Acción.

El Jefe de la Oficina de Comunicaciones y Sistemas, será quien lidere el plan de acción con
el o los equipos de trabajo que se requieran. En caso de presentarse algún problema, debe
reportarse de forma inmediata al líder.

Los trabajos de recuperación tendrán dos etapas.

 Restauración haciendo uso de los recursos de la empresa incluido el talento

humano.
 Restauración haciendo uso de asesoría técnica experta si el problema es más
complejo y no se dispone del conocimiento del tema.
4.4 EVALUACIÓN DE LOS RESULTADOS

Una vez concluida las labores de recuperación de (los) sistema(s) que fueron afectados, por
el siniestro, debemos evaluar objetivamente, todas las actividades realizadas, que tan bien
se hicieron, qué tiempo tomaron, que circunstancias modificaron (aceleraron o
entorpecieron) las actividades del plan de acción, como se comportaron los equipos de
trabajo etc.

De la evaluación de los resultados y del siniestro en sí, deberían salir dos tipos de
recomendaciones, una la retroalimentación del plan de contingencia y otra una lista de
recomendaciones para minimizar los riesgos y perdida que ocasionaron el siniestro.

4.5 RETROALIMENTACIÓN DEL PLAN DE CONTINGENCIA

Con la evaluación de resultados, se debe optimizar el plan de acción original, mejorando las
actividades que tuvieron algún tipo de dificultad y reforzando los elementos que
funcionaron adecuadamente.

El otro elemento es evaluar cuál hubiera sido el costo de no haber tenido nuestra institución
el plan de contingencia llevado a cabo.

4.6 RETROALIMENTACIÓN DEL PLAN DE

CONTINGENCIA Implementación

La fase de implementación se da cuando han ocurrido o están por ocurrir los problemas
para este caso se tiene que tener preparado los planes de contingentica para poder
aplicarlos. Puede tratarse esta etapa también como una etapa controlada.

Monitoreo

La fase de monitoreo nos dará la seguridad de que podamos reaccionar en el tiempo preciso
y con la acción correcta. Esta fase es primordialmente de mantenimiento. Cada vez que se
da un cambio en la infraestructura debemos realizar un mantenimiento correctivo o de
adaptación.

Un punto donde se debe actuar es cuando se ha identificado un nuevo riesgo o una nueva
solución. En este caso toda la evaluación del riesgo se cambia, y comienza un nuevo ciclo
completo, a pesar de que este nuevo esfuerzo podría ser menos exigente que el primero.
 5. ANÁLISIS DE RIESGOS

5.1 CONDICIONES GENERALES

Para el actual análisis de riesgos realizado se tuvieron en cuenta los siguientes criterios
generales que aplican para cualquier sistema de información de Pasto Salud E.S.E.

FACTOR DE
TIPO DE RIESGO RIESGO PREVENCIÓN Y MITIGACIÓN

El Fuego: destrucción de equipos y Extintores, aspersores automáticos, detectores de humo,

Bajo
archivos. pólizas de seguros.
El robo común: pérdida de equipos y Seguridad Privada, Alarma, Seguro contra todo riesgo y
Medio
archivos. copias de respaldo (BackUp)
El vandalismo: daño a los equipos y
Medio Seguro contra todo riesgo, copias de respaldo.
archivos
Fallas en los equipos: daño a los archivos Mantenimiento, equipos de respaldo, garantía y Copias
Medio
de respaldo.
Equivocaciones: daño a los Capacitación, copias de respaldo, políticas de Seguridad.
Bajo
archivos.
Acción de Virus: daño a los equipos y Actualizaciones del sistema operativo, Antivirus
Alto
archivos Actualizados, copias de respaldo.
Desastres naturales: destrucción de Seguro contra todo riesgo, copias de respaldo. Las
equipo y archivos Bajo sedes cumplen con las normas Antisísmicas.
Cambio de claves de acceso mínimo cada seis Meses.
Accesos no autorizados: filtrado no
Bajo Política de seguridad para acceso a personal competente.
autorizado de datos

Robo de datos: difusión de datos sin el
debido cubrimiento de su costo.
Fraude: modificación y/o desvío de la
información y fondos de la institución.
Cambio de claves de acceso mínimo cada seis meses,
Bajo custodia de las copias de respaldo.
Sistemas de información seguros con dos usuarios para
Bajo autorizar transacciones, procedimiento de control y
registro de transacciones en tablas de
auditoría.

5.2 MATRIZ DE RIESGO

La Oficina Asesora de Comunicaciones y Sistemas cuenta con el matriz de riesgos con el

fin de recolectar en forma sistemática y organizada los datos relacionados con los factores
de riesgo existentes y de esta manera planificar las medidas de prevención y control de
manera adecuada y oportuna. Ver Anexo 1: Matriz de Riesgos – Gestión de Sistemas de
Información.
Del análisis de detallado de riesgos, se dispondrá de información suficiente, para proponer
diferentes medidas de prevención y recuperación que se adapten a las necesidades de la
organización.

La prevención frente a riesgos genéricos y poco probables puede ser muy cara y no estar
siempre justificada, sin embargo, las medidas preventivas o de recuperación frente a
riesgos específicos pueden resultar sencillas, de rápida implementación y relativamente
baratas

5.3 PLAN DE RESPALDO
A continuación se presenta las actividades que se deben realizar con el objeto de prever, mitigar o eliminar los riesgos conocidos
para Pasto Salud ESE.
No ACTIVIDAD
Copias de seguridad de la información y
Documentos existentes en los discos duros
de los computadores de todas las áreas
1
Pasto Salud.
Copias de seguridad de los sistemas de
Información y Bases de Datos de Pasto
2
Salud.
Contar mínimo con un kit de instalación
para restaurar los archivos del sistema
3 operativo y aplicaciones de un computador
o servidor en caso de falla o virus.
Mantener pólizas de seguros vigentes,
4 asegurando por el valor real, contra todo
riesgo los equipos y bienes
Mantenimientos, revisiones preventivas y
correctivas de equipos de computación y
comunicación, extintores, alarmas y
5
sistemas contra
incendio, para mantenerlos en óptimas
condiciones.
Actualizar las claves o contraseña de acceso
a las aplicaciones y bases de datos de los
6 Base de Datos, y sistema de Información SIOS.
sistemas de Pasto Salud.
PLAN DE CONTINGENCIA DE SISTEMAS DE INFORMACION
FORMULACION
Oficina Asesora de Comunicaciones y Sistemas
ELEMENTOS
Documentos en formatos Word, Excel, PDF,
powerpoint, imágenes, audio y archivos de correos
electrónicos.
Bases de datos de SIOS, Génova, Nomina y Sica.
-Sistema operativo (Windows Xp,Vista,
Windows 7, etc.)
-Paquetes de ofimática.
(Office Standard, Office Profesional)
-Bases de datos (Sql Server Standard, etc.)
-Drivers y utilitarios de impresoras, tarjetas de red,
computadores, etc.
Equipos eléctricos y/o electrónicos, móviles,
portátiles, software y equipos de comunicación.
Equipos de computación y comunicación
periféricos, sistemas eléctricos UPS, Aire
acondicionado, Alarmas, Sistemas contra incendio,
Extintores, reglamento del edificio.
CODIGO VERSION PAG
PL- CSI 6.0 18
RESULTADO
Copias de los usuarios cuando haya creación o modificación de
documentos
Una Copia de seguridad anual obligatoria de todos los Documentos. Una
copia de seguridad en la Nube en línea opcional y sugerida, Responsable:
Profesional Universitario
Copias de seguridad diarias así:
-Sios: 1 Copia Full Fin de semana y 2 copias diarias 12 pm y 7pm pm
-Génova: 1 Copia Full Fin de semana y 2 copias diarias
-Nomina: 1 Full y 1 Diaria
-Sica: 2 Diarias
Contar con mínimo un medio de instalación por cada IPS Una copia u
original del instalador en custodia de sistemas.
Responsable: Profesional U Sistemas y Técnicos IPS
Póliza vigente contra todo riesgo de daño y/o pérdida Física por
cualquier causa.
Responsable: Secretaria General
Contratos anuales de mantenimiento, garantías vigentes y control del
mantenimiento de los equipos.
Responsable: Supervisor de contrato de mantenimiento.
Mínimo cada seis meses como política del directorio activo, para el ingreso
al sistema operativo.
Cada tres meses cada usuario debe cambiar la clave para el acceso al
sistema de información SIOS
Responsable: Todos los funcionarios de la Entidad que manejen sistemas
de información y Profesional Universitario.
 PLAN DE CONTINGENCIA DE SISTEMAS DE INFORMACION

FORMULACION CODIGO VERSION PAG

Oficina Asesora de Comunicaciones y Sistemas PL- CSI 6.0 19

No ACTIVIDAD ELEMENTOS RESULTADO

Mantener actualizados los sistemas
operativos con los parches de seguridad,
7 ultimas antivirus y aplicaciones
Mantener los equipos en condiciones
8 ambientales óptimas de tal forma que no se
deterioren por uso inadecuado.
Mantener como respaldo un inventario
9 adicional con equipos de cómputo,
repuestos, consumibles, para su
reemplazo inmediato en caso de falla.
Disponibilidad de redundancia de recursos
10 para evitar la interrupción de la prestación
del servicio en los sistemas de información
de la Entidad.
Alta disponibilidad (Failover) de
infraestructura en servidores, BD y red, si
se presenta fallas en uno de los servidores,
11
conectividad o Base de
datos
Instalación de actualizaciones cada vez que salga una nueva Versión de las
Sistemas operativos de equipos de cómputo, aplicaciones.
antivirus y aplicaciones Configuración de actualizaciones automáticas en los sistemas operativos
con gpo de ADC.
Responsable: Profesional Universitarios y Técnicos IPS.
Contrato vigente de mantenimiento preventivo y correctivo para los
Equipos de computación y comunicación. equipos de cómputo.
Responsable: Supervisor de contrato de mantenimiento.
Reducción del tiempo de respuesta a fallas de hardware y sistemas de
Equipos de computación y comunicación de la información.
Entidad. Responsable: Responsable de Inventarios de la Entidad y Jefe Oficina de
Comunicaciones y Sistemas.
Concepto n+1: UPS, Planta eléctrica, Evitar la suspensión del servicio a los usuarios teniendo una alternativa
almacenamiento, conexiones, líneas, equipos de adicional, contratando servicio de hosting en datacenter que garanticen alta
cómputo adicional y servidores con ambiente de disponibilidad.
prueba. Responsable: Gerencia y Jefe Oficina Comunicación y Sistemas.
Dos servidores de almacenamiento. Evitar interrupción de aplicaciones y bases de datos.
Canales de datos e internet Responsable: Jefe Oficina de Sistemas, Profesional Universitario,
Gerencia.
 6. PLAN DE EMERGENCIA INFORMÁTICO Y
RECUPERACIÓN POR DESASTRES

Cuando ocurra un desastre, es esencial que se conozca al detalle el motivo que lo originó y
el daño producido para permitir recuperar en el menor tiempo posible el proceso perdido.
Los procedimientos de recuperación y verificación son de ejecución obligatoria y bajo la
responsabilidad de los encargados de la realización de los mismos. En estos procedimientos
están involucrados todos los funcionarios de la Oficina Asesora de Comunicaciones y
Sistemas de Pasto Salud ESE.

Las actividades previas a la ocurrencia de un desastre o falla son aquellas relacionadas con
el planeamiento, preparación, entrenamiento y ejecución de actividades de resguardo de la
información, que aseguren un proceso de recuperación con el menor costo posible para
Pasto Salud. En la fase de planeación se debe tener la siguiente información disponible para
proceder.

6.1 SISTEMAS DE INFORMACIÓN

Se identifican los Sistemas de Información con los que cuenta Pasto salud ESE, tanto los
desarrollados por el área de sistemas como los contratados por la entidad con otras
empresas contratistas.

6.2TIEMPO DE INACTIVIDAD O DOWNTIME

El término tiempo de inactividad (downtime) es usado para definir cuando los sistemas de
información o hardware no están disponible (solo para servidores). Los casos
DOWNTIME pueden ser planeados o no planeados. Los casos de tiempos de inactividad en
servidores planeados pueden ser por mantenimiento, cambio de sistema operativo,
recuperación de bases de datos, reconfiguración de los sistemas o reinicio de servicios. Los
casos de tiempos de inactividad no planeadas pueden ser provocados por fallas del sistema,
daño en los servidores, fallas de la red de datos, fallas en el fluido eléctrico
 Lenguaje No de Usuarios Tiempo de
Nombre del Áreas y Equipamiento mínimo de Actividades de
No Criticidad de Conectados a la recuperación
sistema Procesos funcionamiento recuperación
Desarrollo Base de Datos máximo
Máquina Virtual, SO
SIOS (Sistema Todas las áreas y 300 usuarios Windows 2008 Server 1.Recuperación de la 8 horas
de Operaciones procesos de la concurrentes Standard, Memoria 128 base de datos
1 Alta Visual.Net
en Salud) organización Gigas, DD 500 gigas.
IP:192.168.10.9
1. Remplazo Servidor
Máquina Virtual, SO (Máquina Virtual) 45 minutos
Todas las áreas y Windows 2008 Server
2 Media SICA Access procesos de la 334 Usuarios Standard, Memoria 8 2. Recuperación de la
organización Gigas, DD 500 gigas. Base de Datos
1 hora
IP:192.168.10.8
SO Windows 2003 Server
Todas las áreas y
3 Media SICA Web PHP 334 Usuarios Standard, Memoria 4 Gigas, 1.Remplazo del 3 Horas
procesos de la
DD 500 gigas. servidor
organización IP:192.168.10.2
1. Recuperación de
las cuentas de correo.
2. Restauración de
Correo Todas las áreas y CloudLinux 6 64 bit 4 Horas.
4 Media Exim 256 Cuentas las carpetas de
Electrónico procesos de la
mensajes.
organización

1. Restauración de
Todas las áreas y CloudLinux 6 64 bit la base de datos.
procesos de la 2. Restauración de
5. Media OsTicket PHP 30 Usuarios 2 horas.
organización la página de la
aplicación.
6.3 SISTEMAS DE INFORMACIÓN ACTIVOS

INFRAESTRUCTURA TECNOLÓGICA Y DE COMUNICACIONES

Tiempo de
Equipamiento mínimo de Actividades de
No Criticidad EQUIPO Áreas y Procesos recuperación
funcionamiento recuperación
máximo
Notificar a almacén y
8 días
Todas las áreas y procesos Servidor SO Windows 2008 Server hacer valida la garantía
1 Alta SERVIDORES de la organización Enterprise, HyperV Memoria 128 Gigas,
DD 500 gigas . Remplazo Servidor por un
alterno (MV) 20 minutos

Notificar a almacén y
1 día
Equipo SO Xp, 2 Gigas, DD 70 Gigas, hacer valida la garantía
2 Media COMPUTADORES Sede Administrativa Monitor, Mouse, Teclado.
Reparar equipo,
reportar a tercero 8 días
Notificar a almacén y
1 día
Historia Clínica, Equipo SO Xp, 2 Gigas, DD 70 Gigas, hacer valida la garantía
3 Alta COMPUTADORES facturación Monitor, Mouse, Teclado.
Reparar equipo,
reportar a tercero 8 días
Notificar a tercero para
3 Alta IMPRESORAS Facturación Monocromática, Trabajo en Red remplazar Impresora 2 horas
Otros Procesos Notificar a tercero para
4 Media IMPRESORAS Monocromática, Trabajo en Red 1 día
administrativos remplazar Impresora.
Todas las áreas y procesos
Reportar incidente
6 Media INTERNET de la organización 10 Megas 1 hora
tercero
Todas las áreas y
CANAL DE Reportar incidente
7 Alta procesos de la Enlaces Inalámbricos 4 hora
DATOS organización tercero
6.4 PROVEEDORES DE SERVICIOS DE CÓMPUTO Y COMUNICACIONES

Vigencia Estado del

No Empresa Contratista Contacto Técnico Objeto Contractual Contrato Contrato
Prestación del servicio de conectividad inalámbrica a las IPS
INGENIERO ruarles. Mantenimiento y soporte de las líneas de fibra óptica de 01 de Febrero al
CARLOS las IPS urbanas, proveer y configurar los dispositivos necesarios 31 de Diciembre
1. SISTEMAS PALACIOS Activo
GONZALES para garantizar la seguridad de 2019.
perimetral entre las IPS y la Sede Central.
01 de Enero al 31
Prestación de servicio de mantenimiento preventivo y correctivo
2. BIOELECTROMEDICAL JAVIER DULCEY de Diciembre Activo
de equipos de Informática y UPS. de 2019.
01 de Enero al 31
ANA Prestación de servicio de telecomunicación y servicios conexos
3. TELEFÓNICA de Diciembre Activo
XIMENA (Internet Diferenciado) de 2019.
MENESES
EDUARDO JOSE 01 de Febrero al
Prestar el servicio de alojamiento de la página web
4. MOLECA IT HERNANDEZ 31 de Diciembre Activo
institucional Hosting y correo electrónico web. de 2019
BLANCO
19 de Enero al 31
Prestación del servicio de mantenimiento preventivo y correctivo
5. BIOELECTROMEDICAL JAVIER DULCEY de Diciembre Activo
de los Equipos de Comunicaciones. de 2019
COMUNICACIONES Y NELLY YANETH 01 de Febrero al
Arrendamiento en calidad de tenencia una caseta de
6. ELECTRÓNICA BASANTE 31 de Diciembre Activo
comunicaciones ubicada en el cerro Crestagallo. de 2019
(ARRENDAMIENTO) RECALDE
LUIS CARLOS 01 de Enero al 31
Prestación del servicio de uso y goce del Espectro Radio
8. RADIOCOM MARTINEZ de Diciembre Activo
Eléctrico, en modalidad de mono canal de voz. de 2019.
CALDERON
6.5 COPIAS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN.

Las copias de seguridad tienen por objeto proveer el respaldo de la información actualizada a cada sistema de información de acuerdo
con os siguientes criterios.

MEDIDAS DE
No ACTIVIDAD FRECUENCIA RESPONSABLES CONTROL
Periodo:
Copias de seguridad diarias:
-Sios: 1 Full fin de semana y 2 diarias
-Génova: 1 Full fin de semana y 2 diarias
Copias de seguridad de la -Nomina: 1 diaria
información y documentos residentes -Sica: 2 Diaria Funcionarios y contratistas de
en los discos duros de los Verificación anual
Array5 Unidad E y Array1 Unidad G Servidor 192.168.10.9 Copias de Pasto Salud ESE.
computadores de todas las áreas De los
Profesionales Universitarios
1 Pasto Salud. Documentos en formatos procedimientos
Documentos del personal: Sistemas. Técnicos
Word, Excel, PDF, PowerPoint, establecidos.
sistemas
imágenes, audio y archivos de Medio: Contratistas
correos electrónicos. Unidad de Almacenamiento 192.168.10.206

Nota: El usuario es responsable de guardar los archivos en la carpeta

de red asignada a cada usuario del directorio activo.
 7. GESTIÓN DE INCIDENTES

7.1 OBJETIVOS

 Detectar cualquiera alteración en los servicios TI.

 Registrar y clasificar estas alteraciones en la plataforma habilitada para este fin
(osTicket).
 Informar al tercero o asignar el personal encargado de restaurar el servicio.

Los funcionarios de Pasto Salud ESE pueden reportar un problema presentado en la

infraestructura tecnológica y física de manera electrónica a través de la plataforma
osTicket.

Una vez se registra la solicitud en el sistema se inicia un proceso de escalamiento de

acuerdo a los siguientes niveles establecidos.

7.2 CUADRO DE ESCALAMIENTO

Nivel PUNTO DE ESCALAMIENTO

1 Técnicos Contratistas
Administrador del sistemas Ingeniero
2 de Sistemas Soporte SIOS Profesional
Universitario
3 Proveedor de servicios

7.3 CUADRO NIVELES DE SERVICIOS

No Descripción General del Problema Nivel de servicios requeridos

Denegación de servicios por fallas del software o conectividad
que afecten de forma general el sistema que impida el acceso a Nivel 1 : 15 minutos
1 los servicios con impacto significativo operacional, entre un
90% al 100% de los usuarios. Nivel 2 : 1 hora
PRIORIDAD DE SOLUCIÓN ALTA.
Nivel 3: Entre 1 y 8 horas
Degradación de servicios por fallas sobre las estructuras de datos, Nivel 1 : 3 horas
hardware, comunicaciones y software que NO impide por
completo el acceso a los servicios con impacto Nivel 2 : 6 horas
2
operacional medio-alto, entre un 30% y un 90% de los usuarios.
PRIORIDAD DE SOLUCIÓN MEDIA.
Nivel 3: 24 horas
Degradación de servicios por fallas sobre las estructuras de datos, Nivel 1 : 1 días
hardware, comunicaciones y software que NO impide por
completo el acceso a los servicios con impacto operacional Nivel 2 : 5 días
3
medio-alto, entre un 1% y un 30% de los
usuarios. PRIORIDAD DE SOLUCIÓN BAJA.
Nivel 3: 8 días
El tiempo de solución establecido en el anterior cuadro de niveles de servicio, según la
prioridad y niveles de escalamiento, corresponde al tiempo transcurrido entre la
comunicación oficial del problema y la solución del problema en el cuarto de máquinas de
cada IPS o Sede Administrativa.

7.4 CUADRO DE NIVELES DE ATENCIÓN

Nivel NIVEL DE ATENCION

ATENCION PRIORITARIA:

1 Sistemas de información y equipos que requieran alta disponibilidad de atención a los usuarios externos y
manejen alto volumen de información. (Sios, Radicación y correspondencia,
Conectividad, Impresoras de facturación, equipos de historia clínica y facturación.
ATENCION NORMAL:

2 Sistemas de información y equipos no relacionados con la atención a los usuarios y manejen bajo
volumen de información. (Impresoras, equipos de áreas administrativas sede central, sistemas que no
requirieran Conectividad y que cuenten con mayor plazo para la consulta y
disponibilidad de información,
 8. PLAN DE CONTINGENCIA PARA LA PRESTACIÓN DEL SERVICIO

Los funcionarios y personal contratista de Pasto Salud deben continuar con la prestación
del servicio a los usuarios externos en caso de que ocurra una interrupción del servicio en
los sistemas de información administrativos y asistenciales, para ello se deben tener en
cuenta las siguientes consideraciones:

8.1 REPORTE

Reportar el incidente al área de sistemas en primera instancia a través de la plataforma, en

caso de no tener el servicio de internet, se deberá realizar de manera telefónica.

8.2 REGISTRO

Para el caso de los procesos que tienen mayor impacto en el tiempo de atención al
usuario, como facturación y registros clínicos, se requiere realizar de manera manual el
registro de la facturación y diligenciamiento de los registros clínicos. Una vez de
restablezca el servicio se deberá ingresar los registros clínicos y la facturación al sistema
SIOS.

8.3 COMUNICARSE CON LA OFICINA ASESORA DE COMUNICACIONES Y

SISTEMAS

En caso de no tener red de Internet, servicio de electricidad, los responsables de cada

oficina deben comunicarse con el personal de la Oficina Asesora de Comunicaciones y
Sistemas.

8.4 COMUNICARLE A TODOS LOS USUARIOS AFECTADOS

Una vez resuelta la falla se debe informar vía plataforma electrónica, correo electrónico o
comunicado vía Spark o el medio que en ese momento esté disponible a todos los usuarios
afectados.
 PLAN DE CONTINGENCIA DE SISTEMAS DE INFORMACION

FORMULACION CODIGO VERSION PAG

Oficina Asesora de Comunicaciones y Sistemas PL- CSI 6.0 28

9. DESCRIPCIÓN DE LA ACTIVIDAD
9.1 REPORTE DEL PROBLEMA

Nombre de la
No actividad Descripción Responsable
El funcionario o contratistas del sistema identifican el problema o falla del sistema de información y
comunican de forma inmediata, abriendo un ticket en la plataforma dispuesta para ello o telefónicamente los Funcionario o contratista
pormenores del caso. del área de sistemas
1 Comunicar el
El ticket debe contener un resumen del problema y el detalle de la falla presentada puede ir asignado para solución y
problema o falla.
acompañada de toda información adicional como imágenes de pantallazos necesarios para identificar el seguimiento del reporte.
problema.
Analizar y evaluar Funcionario o contratista
El ingeniero o técnico a quien se le haya asignado el caso mediante ticket numerado realizará la verificación,
2 el del área de sistemas
análisis y evaluación de los mismos, los soluciona si está a su alcance, y realiza la comunicación al
problema o falla. asignado para solución y
interesado; de lo contrario, escala el caso.
Diagnóstico seguimiento del reporte.
El profesional Universitario o Técnico de sistemas abre el caso en el sistema de tickets para reporte,
Escalar y Funcionario o contratista
seguimiento y control de la solución del problema.
gestionar la del área de sistemas
3 Se categoriza el problema de acuerdo con la prioridad y se escala al responsable de acuerdo con
solución del asignado para solución y
el nivel de servicio del numeral 5.1. Si el problema va a ser solucionado por personal externo a la entidad se
problema seguimiento del reporte.
debe asignar el respectivo ticket al proveedor responsable del servicio solicitado.

Después del diagnóstico, si se encuentra solución, se implanta la misma y se recupera la operación normal
de lo contrario se escala al siguiente nivel y se verifica nuevamente el problema hasta encontrar la solución.
Para los casos que requieran realizar pruebas, Se realizan pruebas para verificar la efectiva solución, luego se
implementa en el ambiente de producción. Funcionario o contratista
Se realiza seguimiento y monitoreo durante un periodo de tiempo hasta que se vuelva a presentar, si no del área de sistemas
4 Ejecutar pruebas vuelve a presentarse se cierra el problema y se hace reapertura si es necesario. Una vez solucionado el asignado para solución y
problema se responde el ticket con la descripción de la solución del problema, fecha, responsable. Se seguimiento del reporte.
envía la comunicación de la solución al funcionario que reportó el problema y a las partes interesadas del
proceso, para verificación de la solución.

Los funcionarios usuarios del sistema deben verificar que la solución dada sea satisfactoria durante un
Verificar solución período no superior a dos días, de lo contrario comunicarán al área de sistemas la inconformidad para la Todos los funcionarios
5 y período de reapertura del caso y se devuelve a la actividad 4. usuarios de sistemas de
prueba. Si los usuarios no presentan ninguna observación durante el período de prueba, se entiende por recibida a información de Pasto salud
satisfacción la solución del problema.
 PLAN DE CONTINGENCIA DE SISTEMAS DE INFORMACION

FORMULACION CODIGO VERSION PAG

Oficina Asesora de Comunicaciones y Sistemas PL- CSI 6.0 29

Nombre de la
No actividad Descripción Responsable
Funcionario o contratista
6 Cerrar el caso Se cierra el caso, una vez finalizado el tiempo de prueba o si existe recibo a satisfacción por parte de los del área de sistemas
usuarios del sistema sobre la solución dada. asignado para solución y
seguimiento del reporte
Fin del
7 procedimiento

9.2 PROCESO DE RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO.

Nombre de la
No actividad Descripción Responsable
Todos los funcionarios
Los funcionarios de Pasto Salud ESE tienen la responsabilidad de comunicar de forma inmediata, por
1 Comunicar la usuarios de sistemas de
cualquier medio de comunicación disponible, al área de sistemas la interrupción parcial o total del servicio
falla información de Pasto salud.
de un sistema de información y/o comunicación de la Entidad
Los ingenieros de sistemas de Pasto Salud ESE realizarán pruebas preliminares para constatar la veracidad
del incidente y constatar la suspensión total o parcial del servicio del sistema de información.

En principio se deben tomar en cuenta los siguientes aspectos del plan de emergencias:

1. Evaluación del impacto y urgencia de la situación del desastre en la infraestructura de los sistemas
de información y/o Comunicación.

1. Asignación de funciones de emergencia a los funcionarios del área de sistemas.

Funcionario del área de
Iniciar plan de sistemas asignado para la
2 recuperación. 2. Verificación de disponibilidad de recursos para la contingencia como: manuales técnicos de instalación recuperación y
del sistema de información, almacenamiento de datos, sistemas eléctricos, comunicación, hardware y seguimiento de la solución.
copias de seguridad.

3. Comunicación a los usuarios de la interrupción o degradación del servicio indicando el tiempo estimado
de restablecimiento del servicio si se puede determinar.

4. Procedimiento de contacto y colaboración con los proveedores involucrados.

 Nombre de la
No actividad Descripción Responsable
Si el sistema se encuentra funcionado parcialmente y es posible realizar una copia de seguridad, se suspende
el servicio para que los usuarios no registren más transacciones y se realiza la copia de seguridad.

El responsable asignado ejecuta los siguientes pasos para la recuperación del sistema de acuerdo al nivel de
la falla:
1. Instalación y puesta a punto de un equipo de cómputo compatible y hardware necesarios para la
instalación del sistema de información con las características mínimas exigidas.
2. Instalación y configuración del sistema operativo, drivers y servicios necesarios para el funcionamiento
del sistema de información a recuperar.
3. Instalación y configuración del sistema de información y el motor de la base de datos y niveles
de seguridad.
4. Instalación de aplicaciones adicionales necesarias para el funcionamiento del sistema de información.
5. Realización del procedimiento restauración de la base de datos con la última copia de seguridad
disponible de acuerdo al procedimiento de restauración establecido: Copia completa y la última
diferencial. Funcionario o contratista del
Ejecutar el plan 6. Reiniciación del servicio, prueba y afinamiento del sistema de información. área de sistemas asignado
3 de recuperación. 7. En un horario de baja demanda de tráfico en la red y servicios, se realiza la recuperación de otras para la
aplicaciones y actualizaciones que no influyen directamente en el funcionamiento del sistema de recuperación y
información recuperado. seguimiento de la solución.
8. Si el equipo de cómputo no requiere cambiarse por fallas técnicas de hardware y se cuenta con una
copia en el disco duro, únicamente es necesario restaurar la copia de seguridad de la información, sin
realizar los pasos del 1 al 4.
9. Para los sistemas de información web únicamente se requiere copiar la carpeta donde se encuentra el
software ejecutable y actualizar la carpeta de la base de datos con el último backup automático
almacenado en el disco duro.

De acuerdo con la complejidad y especialidad del sistema de información de la Entidad, o si la actividad 4

no ha sido satisfactoria, se debe escalar y determinar el nivel de servicio de acuerdo a
los cuadros del numeral 5.1

Una vez puesta en marcha y funcionamiento el sistema de información, se comunica a los usuarios
del mismo usando el medio de comunicación más masivo. Funcionario o contratista del
Comunicar el área de sistemas asignado
restablecimiento Se realiza un seguimiento en las primeras dos horas sobre el comportamiento y rendimiento del sistema para la
4
del servicio. para verificar su correcto funcionamiento. recuperación y
seguimiento de la solución.
Se lleva a cabo una solicitud de opinión o encuesta sobre del funcionamiento del sistema de
información, como retroalimentación para el cierre del proceso.
 Nombre de la
No actividad Descripción Responsable
Cerrar el proceso
Funcionario del área de
de recuperación Se cierra el proceso, una vez finalizado el período de seguimiento y no exista ninguna observación por sistemas asignado para
5 en parte de los usuarios. la recuperación y
caso de
seguimiento de la solución.
contingencia
 10. SIMULACRO PARA VERIFICAR LA EFICIENCIA Y EFECTIVIDAD DEL PLAN DE CONTINGENCIA

Nombre de la
No Descripción Responsable
actividad
1. Realizar la programación anual del simulacro de recuperación de los sistemas de información.
2. Difusión y actualización de los planes de prevención y recuperación de sistemas.
3. Capacitación específica sobre los diferentes procedimientos de prevención y recuperación, dentro del
proceso de inducción a los funcionarios nuevos que ingresan a la Entidad.
Planificar 4. Verificación de disponibilidad de manuales o guías técnicas actualizadas para la instalación de
simulacro plan Profesional responsable del
1 sistemas de información. área de sistemas
de contingencia 5. Disponibilidad de recursos informáticos para habilitar el servicio de un sistema de información en
el menor tiempo posible.

Los funcionarios de la Oficina de Comunicaciones y Sistemas de Pasto Salud ESE verifican la

disponibilidad de los recursos o requerimientos mínimos para la ejecución del simulacro:
1. Disponibilidad de recursos para la contingencia como: Manuales o guías técnicas de instalación del
Preparar
sistema de información, almacenamiento de datos, sistemas eléctricos, comunicación, de hardware, y
recursos para el Profesional responsable del
2 copias de seguridad.
simulacro de área de sistemas.
2. Disposición de equipos de cómputo (servidor o computador) con las características técnicas mínimas
recuperación.
para la instalación y recuperación del sistema de información.
3. Verificación de disponibilidad de los proveedores o contratista involucrados para el soporte en caso
de requerirse.
Se ejecuta el procedimiento del simulacro realizando el procedimiento descrito en la actividad 4 del numeral
Ejecutar el
7.2 “Ejecutar el plan de recuperación” para verificar la eficiencia, eficacia y efectividad del plan de Profesional responsable del
simulacro del
4 contingencia correspondiente a cada sistema de información. área de sistemas.
plan de
En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la
contingencia.
continuidad de las tareas críticas de la Entidad.
Se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los
escenarios establecidos como posibles.
En caso de que los resultados obtenidos difieran de los esperados, se devuelve a la actividad anterior para
verificación, e inicia nuevamente la prueba.
Realizar El adecuado conocimiento por parte de los participantes del plan de contingencia y la documentación técnica Profesional responsable del
5 pruebas de los sistemas de información, ayudarán a identificar las posibles carencias del plan. área de sistemas
Una vez finalizado el plan, se elabora un acta que contenga los resultados de su ejecución cuyas
conclusiones servirán para elaborar los planes de mejoramiento al sistema de atención de contingencias.
 11. LISTA DE VERIFICACIÓN PLAN DE CONTINGENCIA

No ACTIVIDAD OFICINA RESULTADO SI NO OBSERVACIONES

Copias de seguridad de la información y
Se encuentran disponibles las copias de seguridad de los
documentos de los discos duros de los
archivos y documentos de los usuarios en la carpeta de
computadores de Pasto Salud ESE.(
1 cada usuario en la unidad de almacenamiento X
Documentos en formatos Word, Excel, Power
192.168.10.206
Point, audio y correos electrónicos
)
Se encuentra disponible una copia de seguridad mensual
para la vigencia actual de las siguientes bases.
1. SIOS
Copias de seguridad de los sistemas de
2. Génova.
2 información y bases de datos de Pasto Salud X
3. Nomina
ESE.
4. Sica – Sica Web
En el servidor central y la unidad 192.168.10.79

Se encuentra disponible un KIT de instalación para cada

Contar mínimo con un kit de instalación para
3 restaurar los archivos del sistema operativo y
aplicaciones de un computador o servidor en
caso de falla o virus.
Mantener descentralizados Los servicios que
4 y IIS, Maquinas virtuales de Sql Server, y Symantec en
requieren restauración inmediata.
Mantener pólizas de seguros vigentes,
5 asegurando por el valor real, contra todo riesgo
los equipos y bienes de Pasto
Salud.
Mantenimientos, revisiones preventivas y
correctivas de equipos de computación y
6 Comunicaciones, extintores, alarmas y
sistemas contra incendio, para
mantenerlos en óptimas condiciones.
uno de los siguientes productos y periféricos en la
oficina de Pasto Salud ESE.
1. Sistema Operativo Windows XP, Vista, Windows
X
seven, 2008 Server standard
2. Sql Server 2008 R2
3. Drivers para Impresora Epson FX 1170DN
4. Microsoft Office Estándar Edition y Profesional.
Pasto Salud ESE tiene los servicios de Directorio activo
Todas las oficinas de
X
Pasto Salud ESE.
equipos físicos alternos servidores?
Pasto Salud ESE cuenta con Pólizas vigentes contra todo
Todas las oficinas de X
riesgo de daño y/o pérdida física por cualquier causa.
Pasto Salud ESE.
Todas las oficinas de Pasto Salud cuenta con un plan de mantenimiento y
Pasto Salud ESE. contratos de mantenimientos vigentes para los equipos X
de cómputo de la Entidad.
No ACTIVIDAD OFICINA RESULTADO SI NO OBSERVACIONES
Actualizar las claves o contraseña de acceso a
Se tiene implementada la política de actualización de
7 las aplicaciones y bases de datos de los Todas las oficinas de X
claves de acceso para todos los sistemas de información
sistemas de información de Pasto Salud ESE
Pasto Salud. de la Entidad en el directorio activo.
Mantener actualizados los sistemas Se cuenta con un sistema de seguridad con
8 operativos, antivirus y aplicaciones de Pasto seguimiento e informes para detectar X
Salud ESE. vulnerabilidades de riesgo por virus informático.
Verificación del cuarto de servidores y
Mantener los servidores en condiciones
9 comunicaciones que cuente con sistemas de X
ambientales óptimas de tal forma que no Fallen
seguridad de acceso y ambiente adecuado de
o se deterioren por uso inadecuado.
temperaturas.
Mantener como respaldo un inventario
10 adicional con equipos de cómputo, Verificar que existan equipos y repuestos de respaldo X
repuestos, consumibles, para su en almacén y en cada sede.
reemplazo inmediato en caso de falla.
 PLAN DE CONTINGENCIA DE SISTEMAS DE INFORMACION

FORMULACION CODIGO VERSION PAG

Oficina Asesora de Comunicaciones y Sistemas PL- CSI 6.0 35

12. CRONOGRAMA PARA LA EJECUCIÓN DEL PLAN

PROGRAMACION PARA LA EJECUCCION

PLAN Y ACCIONES ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DICI
PLANEACION
1. Construcción Plan de contingencia
2.Actualización Plan de Contingencia estandar de
acreditación
EJECUCION
3. Ejecución primer Simulacro, indisponibilidad del
sistema de información SIOS.
4. Ejecución Plan de Backups en a nube bases de datos
sistema de ifnromación SIOS para mitigar riesgo de perdida
de información
5. Ejecución Segundo Simulacro, Insisponibilidad del
servicios sistema de información SIOS
EVALUACION
6. Presentación del informe de evaluación del primer
simulacro a Personal Tecnico en Sistemas y grupos
primarios de las IPS
7. Presentación del informe de evaluación del primer
simulacro a Personal Tecnico en Sistemas y grupos
primarios de las IPS
MEJORAS
7. Acciones de Mejora del Plan de contingencia
 PLAN DE CONTINGENCIA DE SISTEMAS DE INFORMACION

FORMULACION CODIGO VERSION PAG

Oficina Asesora de Comunicaciones y Sistemas PL- CSI 6.0 36

13. GLOSARIO

Acceso: Es la lectura o grabación de datos que han sido almacenados en un sistema de

computación. Cuando se consulta una Base de Datos, los datos son primero accedidos y
suministrados a la computadora y luego transmitidos a la pantalla del equipo.

Amenaza: Cualquier evento que pueda interferir con el funcionamiento de un computador

o causar la difusión no autorizada de información confiada a un computador como por
ejemplo: Fallas del suministro eléctrico, virus, saboteos o descuido del usuario.

Ataque: Término general usado para cualquier acción o evento que intente interferir con el
funcionamiento adecuado de un sistema informático o el intento de obtener de modo no
autorizado la información confiada a un computador.

Base de Datos: Es un conjunto de datos organizados, entre los cuales existe una
correlación y que además están almacenados con criterios independientes de los programas
que los utilizan. Entre sus principales características se encuentran brindar seguridad e
integridad a los datos, proveer lenguajes de consulta, de captura y edición de los datos en
forma interactiva, proveer independencia de los datos.

Datos: Los datos son hechos y/o valores que al ser procesados constituyen una
información, sin embargo, muchas veces datos e información se utilizan como sinónimos
en el presente documento. En su forma más amplia los datos pueden ser cualquier forma de
información: campos de datos, registros, archivos y Bases de Datos, textos (colección de
palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores o cuadros
de bits), videos (secuencia de tramas), etc.

Golpe (breach): Es la violación exitosa de las medidas de seguridad, como el robo de

información, la eliminación de archivos de datos valiosos, el robo de equipos, PC, etc.

Incidente: Cuando se produce un ataque o se materializa una amenaza se tiene un

incidente, como por ejemplo las fallas de suministro eléctrico o un intento de eliminación
de un archivo protegido.

Integridad: Los valores consignados en los datos se han de mantener de tal manera que
representen la realidad y su modificación debe ser registrada en bitácoras del sistema que
permitan la auditoría de los acontecimientos. Las
técnicas de integridad sirven para prevenir el ingreso de valores errados en los datos sea
esta situación provocada por el software de la Base de Datos, por fallas de los programas,
del sistema, el hardware o, simplemente, por errores humanos.

Privacidad: Se define como el derecho que tiene Pasto Salud ESE para determinar, a
quién, cuándo y qué información de su propiedad podrá ser difundida o transmitida a
terceros.

Seguridad: Se refiere a las medidas que toma Pasto Salud ESE con el objeto de preservar
la integridad de sus datos o información procurando que no sean modificados, destruidos o
divulgados ya sea en forma accidental, no autorizada o intencional. En el caso de los datos
e información contenidos en los sistemas de información del Pasto Salud ESE, la
privacidad y seguridad guardan estrecha relación entre sí, aunque la diferencia entre
ellas radica en que la primera se refiere a la distribución autorizada de información y la
segunda al acceso no autorizado.

Sistemas De Información: Es el término empleado en el ambiente del procesamiento

de datos para referirse al almacenamiento de los datos de una organización y ponerlos a
disposición de su personal. Pueden ser registros simples como archivos de Word y Excel, o
pueden ser complejos como una aplicación de software con base de datos.

Cortafuegos (firewall): Es un sistema diseñado para bloquear el acceso no autorizado de

comunicaciones. Se trata de un dispositivo configurado para permitir, limitar, cifrar y
descifrar el tráfico de mensajes entre los diferentes ámbitos sobre la base de un conjunto de
normas y otros criterios. Los cortafuegos se utilizan para evitar que los usuarios de Internet
no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente
intranets.

Data Center: Lugares físicos de la entidad donde se encuentren alojados los servidores y
demás equipos de comunicaciones.

Plan de Continuidad de Negocio: Procedimientos documentados que guían orientan a

las organizaciones para responder, recuperar, reanudar y restaurar la operación a un nivel
pre-definido de operación debido una vez presentada / tras la interrupción. NOTA:
Típicamente, esto incluye los recursos, servicios y actividades necesarios para garantizar la
continuidad de las funciones críticas del negocio. [Fuente: ISO 22301].

Nivel de Criticidad: Descripción cualitativa usada para enfatizar la importancia de un

recurso, proceso o función que debe estar disponible y operativa constantemente o
disponible y operativa al menor tiempo posible después de que un incidente, emergencia o
desastre ocurra.
Interrupción: Incidente, bien sea anticipado (ej. huracanes) o no anticipados (ej. Fallas de
potencia, terremotos, o ataques a la infraestructura o sistemas de tecnología y
telecomunicaciones) los cuales pueden afectar el normal curso de las operaciones en alguna
de las ubicaciones de la organización.

Recuperación de desastres de tecnología y telecomunicaciones (ITCTIC):

Habilidad Capacidad de los elementos de tecnología y telecomunicaciones (ITC) de las TIC
de la organización para soportar sus funciones críticas a un nivel aceptable dentro de un
periodo predeterminado de tiempo después de una interrupción.

Modo de falla: Manera Forma en por la cual se observa una falla es observada.
 BIBLIOGRAFÍA

 Guía para la preparación de las TIC para la continuidad del Negocio, Guía
No 10, Versión 1.0, 15/12/210

 ISO/IEC 27001, Information Technology. Security Techniques.

Information Security Management Systems. Requirements

Fin del documento.

ELABORADO POR:

WILLIAM MONTENEGRO GUEVARA

Profesional Universitario

REVISADO POR:

WILLIAM MONTENEGRO GUEVARA

JEFE OFICINA ASESORA DE COMUNICACIONES Y SISTEMAS

APROBADO POR:

ANA BELEN ARTEAGA TORRES

Gerente
Phva

Planear
Hacer
Verificar
Actuar

Sebastian1*