FUNCIÓN PÚBLICA

DICIEMBRE DE 2022

Informe de seguimiento Plan de

Continuidad de Negocio - PCN

OFICINA DE CONTROL INTERNO

1
Informe Ejecutivo

1. Objetivo:

Evaluar por parte de la Oficina de Control Interno , el estado actual de

implementación del Plan de Continuidad de Negocio – PCN en Función Pública,
acorde con las mejores prácticas establecidas en la norma ISO 22301 – 2019
para sistemas de gestión de continuidad de negocio, y con atención especial a
los planes de recuperación de desastre de los sistemas misionales FURAG, SUIT
y SIGEPII.

2. Alcance:

Acorde con la norma ISO 22301 normalmente aceptada como mejor práctica
referente, se tuvieron en cuenta los siguientes criterios para el seguimiento:

 Contexto de la organización
 Liderazgo
 Planeación
 Soporte
 Operación (Pruebas planes de recuperación de desastre sistemas SUIT,
FURAG y SIGEPII)

3. Resultados de la verificación

Teniendo en cuenta el levantamiento de la información efectuad a el Contratista

de apoyo a la implementación de la estrategia de contingencia y continuidad de
negocio para los procesos institucionales, se presentaron los siguientes
resultados:

3.1. Contexto de la Organización

En el “Documento Técnico del Plan de Continuidad del Negocio”, actualizado a

enero del presente año, se determinó el alcance del PCN , cuyo objetivo general
busca “Definir las actividades detectivas, preventivas, reactivas y correctivas
para gestionar adecuadamente las situaciones que sean calificadas como
emergencia y puedan comprometer la seguridad del personal, la prestación de
servicio o la continuidad de las funciones misionales.”. En este documento se
estableció que las partes de la organización a ser incluidas, se rían las que
componen el universo de todos los procesos de la Entidad; a su vez, se determinó
como marco general de trabajo, el apoyo a la implementación del Modelo
Integrado de Planeación y Gestión Institucional – MIPG en lo referente a la 3ª.
Dimensión: Gestión con valores para resultados y la Política de Seguridad
Digital, donde la Entidad articula las acciones para dar respuesta a emergencias
que pongan en riesgo la continuidad de sus servicios institucionales, aplicando
el PCN como herramienta de preparación en la respuesta, para garantizar la
atención efectiva de las emergencias que se puedan presentar .

En este contexto, también se tuvieron en cuenta los siguientes componentes del

PCN Institucional:

“Componente de preparación para la respuesta a emergencias

Es el conjunto de acciones principalmente de coordinación, sistemas de alerta,

capacitación, equipamiento, centros de reserva, entrenamiento, entre otras,
necesarios para optimizar la ejecución de la respuesta. La efectividad de la
respuesta es proporcional a las medidas de preparación que se implementen.

Capacitación

Formación del personal, ya sea interno o externo, para la respuesta de las

emergencias, con el fin de garantizar la idoneidad de los actores, estas acciones
se articulan dentro del plan institucional de capacitación, liderado por el proceso
de Gestión del Talento Humano.
Simulaciones y simulacros

Se lleva a cabo la revisión del plan de emergencias y contingencia , mediante la

prueba que permite una evaluación y mejora continua, garan tizando la
efectividad de la respuesta ante una emergencia presentada. Estos ejercicios se
deben realizar mínimo una vez al año , en articulación con lo establecido en el
sistema integrado de planeación y gestión institucional.

Equipamiento

Es el conjunto de herramientas, equipos, accesorios, sistema de alerta temprana

de los procesos institucionales , que garantizan de manera oportuna la primera
respuesta, así mismo con la disponibilidad de personal idóneo para atenderlo,
teniendo en cuenta las capacidades de los actores externos que a través de
figuras administrativas fortalecen el equipamiento en la preparación para la
respuesta, esto se traduce en apoyo de organismos de manejo de emergencias
como bomberos, sistema de salud, sistema nacional de gestión de riesgos y
equipos especializados en respuesta a emergencias cibernéticas.

Planeación y organización

Compuesta por los protocolos, procedimientos y unos equipos de respuesta del

plan de emergencia y contingencia, cuyas funciones y responsabilidades
específicas de acuerdo a cada escenario de riesgo identificado se describen en
la sección roles y responsabilidades de este documento. Este equipo debe
asumir la dirección y coordinación de las operaciones de respuesta ante
emergencias.
Equipo de respuesta del plan de emergencia y contingencia

Es el enlace entre el comité directivo institucional, los jefes de cada dependencia

y las instituciones y sectores administrativos públicos y privados para hacer
efectiva la respuesta ante el desastre.”

El documento mencionado se encuentra publicado a todos los grupos de interés,

en la página web de Función Pública - sección Transparencia (Ruta:
https://www.funcionpublica.gov.co/plan -de-continuidad).

Actualmente, se está trabajando en un tema referente a la sensibilización de

continuidad de negocio, a través de un curso virtual en la plataforma de
aprendizaje Moodle; el guion para este curso ha surtido un proceso de revisión
por la Subdirección, donde se han efectuado los ajustes pertinentes que ameritan
la actualización del documento técnico del PCN , que servirá de base para el
desarrollo del curso mencionado, actualización que será implementada a finales
del presente año, en conjunto con el guion por parte del contratista de apoyo a
la implementación de la estrategia de contingencia y continuidad d e negocio.

3.2. Liderazgo

Para este criterio, los mejores estándares indican que la Alta Dirección debe
demostrar liderazgo y compromiso con respecto al PCN, asegurando entre otras ,
que las políticas y los objetivos de continuidad de negocio estén establecidos y
sean compatibles con la dirección estratégica de la organización, que esté dada
la integración de los requisitos del PCN en los procesos empresariales de la
organización, que los recursos necesarios para el PCN se encuentran
disponibles, que el PCN logre el (los) objetivo(s) deseado(s), y que se dirija y
apoye el personal que contribuye a la eficacia del PCN.
Aseguramiento de recursos: la destinación de recursos para la pre sente
vigencia, se efectuó a través del presupuesto del proyecto de inversión
denominado C-0599-1000-5-0-0599068-02 “Mejoramiento de la gestión de las
políticas públicas a través de las TIC Nacional”, con el cual se pudo efectuar la
contratación de un profesional (Contrato 150/2022) que presta los servicios
profesionales a la Oficina Asesora de Planeación, para apoyar el desarrollo de
la estrategia de dirección de proyectos, la implementación de la estrategia de
contingencia y continuidad de negocio para lo s procesos institucionales y el
fortalecimiento de la política de gobierno digital, en el componente de seguridad
de la información.

Funciones, responsabilidades y autoridad : Los roles que contribuirán con la

eficacia del plan, fueron establecidos en el “ Documento Técnico del Plan de
Continuidad del Negocio”, estableciéndose entre otros , la responsabilidad, los
representantes de cada rol y el mecanismo de gestión sobre el plan. A
continuación, se presenta el cuadro de roles inmerso en el documento:

Rol Responsabilidad Representantes Mecanismos

Equipo de Activación del Plan de Director (a) Declaración
gestión de continuidad o de Subdirector (a) Secretaria formal de inicio
emergencias emergencia y Plan de General de actividad de
restablecimiento Jefe de OTIC contingencia o
Jefe la Oficina Asesora continuidad
Planeación
Líderes de Evaluar los riesgos e Líderes 15 procesos de Evaluar los
proceso impactos de la perdida acuerdo con sus riesgos que
Estratégicos, de continuidad responsabilidades puedan
Misionales y de definidas en el plan de generar
Apoyo continuidad pérdida de
continuidad

Análisis
impacto del
negocio (BIA)
 Rol Responsabilidad Representantes Mecanismos
Jefe Oficina Asesorar, coordinar y Jefe y Coordinador OAP Aplicar las
Asesora de documentar el Plan de guías y
Planeación continuidad de negocio Jefe de Oficina de TIC metodologías
institucionales
Jefe de Oficina Asesor y Coordinadores de
de TIC grupo Secretaria General Metodología de
riesgos
Secretaria Asesor y Coordinadores
de Talento Humano, Análisis de la
General Administrativa, información
Contractual, Financiera y
Documental Identificación
de escenarios
de continuidad

Análisis y
selección de la
estrategia de
continuidad

Inclusión de
los planes de
respuesta en
el plan de
acción anual
Comité Aprobación del plan de Miembros del Comité Acta de Comité
Institucional de continuidad Institucional de
Gestión y Gestión y
Desempeño Desempeño
Institucional

Plan de
continuidad
aprobado

Plan de Acción
Anual

Sesiones de
inducción y
reinducción-
Simulacros
Jefe Oficina Socialización y pruebas Líderes 15 proceso s de
Asesora de del plan de continuidad acuerdo con sus Talleres
Planeación responsabilidades
definidas en el plan de Boletines
Jefe de Oficina continuidad
de TIC Resultados de
las pruebas de
Secretaria continuidad
General
Planes de
Oficina Asesora mejoramiento
de
comunicaciones
 Rol Responsabilidad Representantes Mecanismos
Líderes de Restablecer prestación Líderes 15 procesos de Notificaciones
procesos de servicios a acuerdo con sus a los grupos de
institucionales condiciones normales responsabilidades valor
una vez superada la definidas en el plan de Reevaluación
situación de emergencia continuidad de riesgo

Planes de
mejoramiento
Fuen te : Do cum ento Té cni co del P lan de Con tinu idad de l Nego cio, se cción Ro le s y re spon sab il idade s, Pág . 18

En el presente año, no se ha efectuado una socialización a los representantes

por rol establecidos en el cuadro anterior, donde se les informe detalladamente
a cada uno de ellos las responsabilidades y mecanismos de gestión a aplicar por
cada una. Al respecto, en el guion del curso virtual bajo la plataforma Moodle
que será efectuado el próximo año, se evidencia en el módulo 2 una sección
denominada “Responsabilidades de los diferentes equipos de trabajo”, donde se
presentará el deber ser de cada instancia, exponiendo en la p antalla 14 la tabla
anterior de roles y responsabilidades. Verificando en detalle el Guion
mencionado, se puede evidenciar el siguiente contenido a nivel general:

Bienvenida
- Presentación general del contenido de cada uno de los módulos del curso
- Marco de Continuidad de Negocio del Departamento Administrativo de la
Función Pública – DAFP
Módulo 1
- Marco general trabajo del plan de continuidad de negocio
- Diferencia entre un Plan de Continuidad de Negocio y un Plan de
Recuperación ante Desastres
- Cuál es la necesidad y el valor de un Plan de Continuidad de Negocio
- Componentes del plan de continuidad de negocio institucional
- Principios de la gestión de emergencias
Módulo 2
- Protocolos y Procedimientos de respuesta para cada tipo de emergencia
- Fases de ejecución en la materialización de escenarios de riesgos
- Organización para la respuesta a emergencias
- Responsabilidades de los diferentes equipos de trabajo
 - Grupos específicos de atención por escenarios de riesgos de la Función
Pública
- Roles y responsabilidades
- Cómo se hace un análisis de Impacto al negocio
- Cómo se identifican los riesgos asociados a la continuidad del negocio
Módulo 3
- Definición de estrategia de continuidad en el DAFP
- Documentación de procedimientos de continuidad
- Pruebas y revisión periódica del plan
- Gestionar el plan de continuidad
- Escenarios de continuidad de negocio y la estrategia para cada uno
- Plan de Continuidad de Negocio año 2022

Política de Continuidad de Negocio: Para este año se mantienen los

lineamientos para gestión de la continuida d del negocio, inmersos en las
políticas técnicas de seguridad de la información, versión 5 de octubre 2021,
publicada en la página web de Función Pública (Link:
https://www.funcionpublica.go v.co/web/intranet/politicas-ti). En dichos
lineamientos se identifica la gestión por responsable respecto al ciclo de vida
del PCN, así como para los planes de recuperación ante desastres en cabeza
del Comité Institucional de Gestión y Desempeño, La Oficina de Tecnologías de
Información y las comunicaciones - OTIC, las dependencias de la Entidad y el
responsable o delegado de seguridad de la información.

3.3. Planeación

Plan de continuidad de negocio : Para el presente año, se generó y publico

oficialmente dicho plan en la página web del Departamento – link: https:
//www.funcionpublica.gov.co/pla neacion-sectorial-institucional, donde se
definieron las “actividades detectivas, preventivas y reactivas para gestionar de
forma adecuada las situaciones calificadas como emergencia y que comprometan
la seguridad del personal, la prestación del servicio o la continuidad de las
funciones misionales”. Según el último informe de resultados de gestión del plan
de continuidad, generado por la Oficial de Seguridad, su cumplimento para el
presente año quedo así:
No Actividades
A ctua l i za r l a e stra teg ia
i n stitu cion al
con tinu idad de l
1 nego cio con lo s
reque rim ien to s
de ri vado s d el p lan de
a cción anua l 2022
Fo rta le ce r la s a c cione s
de co ntinu idad de lo s 5
e scena rio s con lo s
2 equ ipo s de fin ido s pa ra
cada uno de el lo s,
según ru ta de traba jo
Adm in i stra r lo s rie sgo s
de con tinu idad en e l
ma rco de l ma pa de
3 ri e sgo s in sti tu ciona l
(re vi sa r y a ctua l i za r si
se requ ie re )
Actividades
Meta Responsable informe de resultados Pendientes
por ejecutar
E stra teg ia de Con tin uida d
de Nego cio a ctua l i zada a
tra vé s de l Do cum ento
Té cn i co de l Pla n
de Con tinu idad de l
Nego cio de ene ro 2 022 ,
de pub l i cado a tra vé s de l
Je fe O fi cin a si gu ien te enla ce
E stra teg ia
ap robada
A se so ra d e h ttp s://www .fun cionpub l i ca MET A COMPLETA DA
P lanea ción - OA P .go v.co /do cumen ts/418 537
/0 /2021 -11 -
09_Do cumen to_ te cn i co_p l
an_ con tinu idad_ v5 +% 285
% 29.pd f/9 f53ae9 8 - 3996 -
6 c4e -be8e -
2d4155 920 cb6? t=1 646686
112334
La OAP , rea li zó la re vi sió n
de la p rime ra ve rsión de l
p lan de con tingen cia de l
S i stema de In fo rma ció n
S IGEP II, la cua l se
en cuen tra en p ro ce so d e
a ju ste s la nue va ve rsión d e
a cue rdo a la s re vi si one s.
Qued a pend ien te el
Lo an te rio r, pa ra fo rta le ce r
a ju s te de l Pla n de
l a s a ccio ne s fren te a l
con tingen cia del
e scena rio de rie sg o
S IGEP II y la
"de sa stre s te cno lóg i co " .
a ctua l i za ción del
O fi cina s de p lan de continge n cia
Pa ra la so cia l i za ción de l a s
P lanea ción , de l si ste ma S UIT
fi cha s defin ida s en e l
F i cha s Te cno log ía , pa ra su po ste rior
do cum ento té cn i co de
so cia l i zada s y Comu ni ca cione s,
con tinu idad de ne go ci o, se
so cia l i za ción .
a ju stada s Ge stión Hum ana ,
ti ene e lab ora do po r pa rte
Adm in i stra ti va y Se tiene pend ien te el
de la O AP , e l gu ion d e
F inan cie ra d i seño e
con ten ido pa ra d i seño e
i mp lemen ta ción del
i mp lemen ta ción de un
cu rso vi rtua l en
cu rso vi rtual de
Mood le de a cuerdo al
Con tinu idad de Nego cio a
gu ion e labo rado
tra vé s de la pl ata fo rm a
de sde la OAP .
Mood le , d i ri gido a todo e l
pe rsona l de la en ti dad .
E sta i mp lemen ta ción e stá
p ro ye ctada con él con e l
l i de ra zgo de la
Subd i re cción de l DAF P y e l
apo yo d e l a o fi cina d e
Comu ni ca cione s.
Se a ctua l i zó la ma tri z d e
ri e sgo s in stitu cion al sobre
e l tipo de rie sgo s d e
R ie sgo s con tinu idad de n ego ci o
O fi cina A se sora
a ju stado s y
de P lanea ción
sob re lo s rie sgo s 53 y 5 7 MET A COMPLETA DA
adm in i strado s de fin ido s en la ma tri z.
 Actividades
No Actividades Meta Responsable informe de resultados Pendientes
por ejecutar

La so ci al i za ción y
sen sib i li za ció n en
con tinu idad de N ego ci o
e stá p ro ye ctado sob re l a
Ade lan ta r a ccione s de O fi cina s de Se tiene pend ien te el
Imp lemen ta ción del curso
so cia l i za ción , A ccione s de P lanea ción , d i seño e
vi rtua l de con tinu idad d e
capa ci ta ción y so cia l i za ción y Te cno log ía , i mp lemen ta ción del
nego cio pa ra to do e l
4 sen sib i li za ció n d el p lan sen sib i li za ció n Comu ni ca cione s,
pe rsona l de la en tidad d e
cu rso vi rtua l en
de con tinu idad al de fin ida s en la Ge stión Hum ana , Mood le de a cuerdo al
l o cua l se tiene de fi nido e l
i n te rior de la en tidad en tidad . Adm in i stra ti va y gu ion e labo rado
gu ion de con ten ido de l
(de fin ir e stra teg ia ) F inan cie ra de sde la OAP .
cu rso para d i seño e
i mp lemen ta ción en la
p la ta fo rma Mood le .

La e stra teg ia de
comun i ca ción se de fin e
con e l d i seño d el contenid o
de l cu rso vi rtua l de
con tinu idad d e nego cio e n
Mood le , l ide rada por l a
A ctua l i za r l a e stra teg ia Subd i re cción en conj unto
de comun i ca cione s con O fi cina A se sora con la ofi cina de
E stra teg ia D i seño de l con te nido
5 los p ro to co lo s,
a ctua l i zada
de Comu ni ca cione s.
de l cu rso en Mood le .
p lan ti lla s y ge stión Comu ni ca cione s
reque rido s Se en vi ó a com uni ca cion e s
la p ie za comun i ca ti va
sob re so cia l i za ción de l a s
fi cha s g rá fi ca s
de scrip ti va s de los
e scena rio s de rie sg o s
de fin ido s.
Qued ó pend ien te de fin i r
con e l equ ipo de OT IC , l a
de fin i ción de fe cha , ho ra y
De sa rro l la r p rueba s de
equ ipo té cn i co qu e
Te cno log ía de
apo ya ría la pru eba d e S igue pen die nte
In fo rma ción pa ra e l
con tinu idad del ap l i ca ti vo e je cu ta r p rueba s de
con tro l de la O fi cina de
P rueba s Ka ctu s. con tinu idad en
d i spon ib i li dad e Te cno log ía s y
6 i n teg ridad de la
de sa rro l lada s y
O fi cina de
re la ción a l ap l i ca ti vo
do cum entada s La s p rueba s en re la ción a Ka ctu s y lo s
i n fo rma ción an te P lanea ción
l o s si ste ma s m i si onal e s ap l i ca ti vo s S IGEP II,
e ven tua l idad o a taque s
S IGEP II Y SU IT , no se SU IT Y FUR AG
de cibe rsegu ridad ,
de fin ie ron dado qu e l o s
según ru ta de traba jo
p lane s de con ting en ci a y/o
con tinu idad no se
en cuen tran a ctua l i zado s
Se cre ta ria
De sa rro l la r simu la cro
Gene ra l O fi cin a s
pa ra la p re se rva ción de Dada la fa l ta de ej e cu ció n
de Pla nea ción , No se pudo
re cu rso s an te po sib le s P rueba s de a cti vidade s p re vi a s
Te cno log ía , de sa rro l la r po r fa lta
7 de sa stre s, de mane ra de sa rro l lada s y
Comu ni ca cione s,
pa ra e l d e sarro l lo de l a s
de e je cu ción de
a rti cu lada con ta len to do cum entada s p rueba s, e sta a cti vidad n o
Ge stión Hum ana , a cti vidade s p re via s
huma no, te cno log ía y se pudo de sa rro l la r.
Adm in i stra ti va y
p lanea ción .
F inan cie ra
No se log ra ron con temp la r,
Pub l i ca r in fo rme s de dado qu e no se rea li zaro n
O fi cina de pend ien te por
re su l tado s de la s l a s p rueba s de con tin uida d
In fo rme s Te cno log ía s y rea l i za r de spué s de
8 p rueba s rea li zada s y
Pub l i cado s O fi cina de
sob re lo s d i ferente s
l a e je cu ción de la s
e stab le ce r a ccion e s de e scena rio s po r tema s d e
P lanea ción p rueba s
me jo ram ien to re cu rso s y p rio ri za ción d e
a cti vidade s de la OT IC
 Actividades
No Actividades Meta Responsable informe de resultados Pendientes
por ejecutar
E sta s campa ña s han sid o
e je cu tada s po r la O fi cin a
Rea l i za r campaña s de de Ta len to Humano de sd e
i n fo rma ción sob re lo s e l Si ste ma de Segu ridad y
d i fe ren te s e lemen to s Sa lud en el Trabaj o
Camp aña s G rupo d e ge stió n
9 de b io segu ridad
rea l i zada s huma na
du ran te todo e l año a MET A COMPLETA DA
ne ce sa rio s e n e l á rea tra vé s de pie za s
de trabaj o y con tro l de comun i ca ti va ,
en fe rmedad e s sen sib i li za ció n y
capa ci ta cione s rea li zad a s
a l pe rsona l de la entida d.
Dada s la s po l íti ca s d e Pend ien te la ge stión
au ste ridad d el ga sto y l o s de l re cu rso po r pa rte
camb io s de adm in i stra ció n de la s ofi cina s p ara
Ge stiona r re cu rso s
Se cre ta ria en la en tidad po r camb io d e e l ta len to humano
pa ra e l forta le cim ien to
Gene ra l - O fi cin a gob ie rno , no se que se ded ique de
de l p lan d e con tinu idad Re cu rso s
10 en lo s d i fe ren te s ge stionado s
de Te cno log ía s y ge stiona ron re curso s fo rma comp le ta a
O fi cina de de sde la se cre ta ri a Con tinu idad de
p lane s o p ro ye cto s de
P lanea ción gene ra l , OT IC y o fi cin a nego cio sob re el
mane ra coo rd inada
A se so ra de P lan ea ció n e stánda r IS O 22301
pa ra fo rta le ce r e ste pla n de Con tinu idad de
de con tinu idad de nego cio . nego cio s

Fuen te : 2022 -12 -14_ In fo rme_ re su l tado s_p lan_ con tin u idad_202 2 -OAP

De acuerdo con el cuadro anterior, se pudo evidenciar que en el transcurso del

año solo se pudo cumplir con las actividades 1, 3 y 9. Verificando las causas a
nivel general que ocasionaron el incumplimiento de los demás ítems, se observa
en la columna “Informe de resultados” los hechos que originaron dicha situación.
A continuación, se presenta el resumen por ítem de lo evidenciado:

 Actividad 1: A pesar que esta actividad fue cumplida, actualmente y de

acuerdo con el desarrollo del guion de capacitación virtual mencionado por
parte de la Subdirección, se vio necesario efectuar algun os ajustes de forma
al documento técnico del Plan de Continuidad de Negocio, relacionados con
los nombres de algunas estancias, actualización que será publicada para el
siguiente año, previa aprobación del Comité de Gestión y Desempeño
Institucional.
 Para la actividad 2: “Fortalecer las acciones de continuidad de los 5
escenarios con los equipos definidos para cada uno de ellos, según ruta de
trabajo”, se desarrolló bajo el escenario de recuperación de desastre
tecnológico, donde al revisar los Planes de Recuperación de Desastre - DRP
para sistemas misionales, se encontró que para los sistemas SIGEP y SUIT,
estaban desactualizados, debido a que las versiones actuales correspondían
al año 2017, y por razones relacionadas con el nuevo versionamiento y
desarrollo de estos sistemas, había la necesidad de actualizarlos , por ende el
Oficial de Seguridad solicitó en el mes de mayo a la OTIC la correspondiente
actualización de los mismos. Al respecto, se presenta a continuación el estado
actual de cada DRP por sistema:

SIGEPII: De acuerdo a la retroalimentación dada por la Oficial de seguridad

y el Coordinador de Servicios de Información de la OTIC , el Gerente del
proyecto de implementación de SIGEPII está ajustando el documento en estos
momentos, (Evidencias ruta:
\\yaksa.dafp.local\10020OAP\2022\DOCUMENTOS_APOYO\CONTRATISTAS
\LORENA_SUAREZ\EVIDENCIAS\INFORME-DECIMO-PAGO-NOVIEMBRE , y
\\yaksa.dafp.local\10031GSI\2022\DOCUMENTO_APOYO\SIGEP_II\14-
DOCUMENTACION_TECNICA\PLAN_CONTINUIDAD). Un punto álgido a tener
en cuenta en el desarrollo del plan , es el relacionado con la infraestructura
requerida en la nube privada, donde actualmente no se tienen servidores
alternos para soportar la operación. Se estaba pensando en utilizar unos
servidores residentes en el Datacenter interno del DAFP, pero por sus
condiciones no soportarían la operación sino solo a usuarios internos. Esta
necesidad de infraestructura fue comunicada entre otras, por el Coordinador
de Servicios de Información al Jefe (e) de la OTIC, a los Directores de DEP y
DDO, así como a la Subdirección y a la Secretaría General, el pasado 1 de
diciembre; también se alcanzó a compartir el tema con el nuevo Jefe de la
OTIC. A la fecha de seguimiento no ha habido pronunciamiento s.

SUIT: Se están efectuando los ajustes respectivos relacionados con el nuevo

formato del documento, la información de algunos responsables dentro del
plan de acción y la infraestructura requerida a raíz de la actualización de la
nueva máquina (Servidor de aplicación) sobre hiperconvergencia. El
documento parcial del DRP se evidenció en la ruta:
 \\yaksa.dafp.local\10031GSI\2022\TRD\PROYECTOS\CONSTRUCCION_MAN
TENIMIENTO_SW\SUIT\SOPORTE.

FURAG: El Documento del DRP se encuentra actualizado.

Con respecto a la socialización de las fichas de los cinco (5) escenarios de

emergencia (Desastre tecnológico, emergencia social, desastre natural y
colapso de infraestructuras, crisis financiera y pandemia -epidemia), estas
serán socializadas el próximo año en el curso virtual mencionado con
anterioridad, tal como se pudo evidenciar en el contenido del guion.

Para los demás escenarios, por temas de recurso humano desde la OAP no
fue posible cubrir el respectivo seguimiento en el transcurso del año. Se
espera que con la socialización general que se hará sobre la plataforma
MOODLE en el 2023, se pueda empoderar a los líderes de proceso para que
efectúen la gestión de fortalecimiento a las acciones de continuidad de los
escenarios pendientes (Emergencia social, Desastre natural y colapso de
infraestructuras, crisis financiera y Pandemia -epidemia)

 Actividad 3: se evidenció que el Oficial de Seguridad revisó y validó para su

publicación la matriz de riesgos institucional, integrando en la columna tipo
de riesgo el relacionado con “Seguridad digital y continuidad de negocio” para
los riesgos Nos. 53 y 57 identificados en la respectiva sábana de riesgos , tal
como esta oficina había recomendado en el Informe de seguimiento al PCN
de Función Pública vigencia 2021. Al respecto, se observó el correo interno
enviado por el Oficial el pasado 29 de noviembre a la OAP solicitando dicha
publicación en la página web del Departamento, evidenciándose en la ruta
https://www.funcionpublica.gov.co/mapa -de-riesgo. No obstante, a la fecha de
revisión en el Sistema de Gestión Institucional -SGI, no se pudo evidenciar la
actualización en las sábanas de riesgo publicadas.
 Actividades 4 y 5: Como se puede observar en el cuadro enunciado en el
numeral 3.3 del presente informe, la gestión sobre las mismas va supeditada
a la realización del curso virtual de continuidad de negocio para todo el
personal de Función Pública, definido en el guion de contenido del curso para
diseño e implementación en la plataforma Moodle, y el cual será desarrollado
el próximo año.

 Actividad 6 y 8: Para los tres (3) sistemas misionales SIGEPII, SUIT y FURAG
no se programaron y efectuaron este año pruebas técnicas generales de los
planes de recuperación de desastre (DRP). Se aclara que para el sistema
SUIT, dentro de las acciones de mitigación de riesgos de continuidad, se
efectuó el cambio del servidor de aplicación, donde se aplicaron algunos
elementos del DRP de SUIT, al respecto se eviden cia la trazabilidad de esta
actividad en la herramienta Proactivanet caso REQ 2022-036660.

Para el caso de FURAG, no se adelantaron pruebas este año por cuanto se

adelantó la estabilización de la versión que entrego la Agencia Nacional
Digital – AND.

Por otro lado, de acuerdo a la recomendación efectu ada por la OCI en el

Informe de seguimiento al PCN de Función Pública vigencia 2021 y en el
informe de Auditoría basada en Riesgos al Proceso Gestión del Talento
Humano, de la misma vigencia, se generó el DRP d e la herramienta KACTUS
de nómina y se está a la espera de definir con la OTIC la programación para
desarrollar la prueba técnica respectiva.

Actividad 7: Esta actividad no pudo ser desarrollada debido a que no se

ejecutaron una serie de actividades previ as con las dependencias
responsables a nivel transversal (Secretaria General y las Oficinas de
Planeación, Tecnología, Comunicaciones, Gestión Humana, Administrativa y
Financiera), para poder efectuar los simulacros sobre los cinco (5) escenarios
de emergencia definidos en el PCN.
 Actividad 9: Como se puede observar en el informe de resultados, esta
actividad fue cumplida en el transcurso del año, a través de campañas
comunicativas, de sensibilización y capacitación por parte del Grupo de
Gestión Humana desde el Sistema de Seguridad y Salud en el Trabajo. La ruta
en el servidor de carpetas compartidas, donde se puede evidenciar la gestión
mencionada se encuentra en
\\yaksa.dafp.local\12001GGH\2022\DOCUMENTOS_APOYO\5_SGSST.

 Actividad 10: acorde a lo especificado en el informe de resultados, no se

pudo cumplir con esta actividad debido a que las políticas de austeridad en el
gasto y los cambios de administración en el Departamento, no permitieron que
se gestionaran recursos desde la secretaria general, OTI C y la oficina Asesora
de Planeación, para fortalecer la gestión del PCN durante este año.

Plan de recuperación ante desastres tecnológicos : Este plan fue publicado

este año en el SIPG - proceso de Tecnologías de la Información, previa
verificación del Oficial de Seguridad de la Información. Se evidencia la versión
del 01 de octubre de 2022, en la cual principalmente se incluyó el sistema de
recuperación de desastres a la herramienta de nómina KACTUS, según
recomendación de la OCI en los informes descritos en el contexto de este
seguimiento. Además, se actualizo la tabla de responsables de los planes de
SIGEP, SUIT y FURAG.

3.4. Soporte

Determinación de recursos: Como se mencionó en el numeral 3.2 del presente

informe, en lo referente a los recursos necesarios para el establecimiento,
Implementación, mantenimiento y mejora continua del PCN, Función Pública a
través del presupuesto del proyecto de inve rsión denominado C-0599-1000-5,
efectuó la contratación de un Ingeniero que presta los servicios profesionales a
la Oficina Asesora de Planeación, para apoyar el desarrollo de la estrategia de
dirección de proyectos, la implementación de la estrategia de contingencia y
continuidad de negocio para los procesos institucionales y el fortalecimie nto de
la política de gobierno digital, en el componente de seguridad de la información.

No obstante, lo anterior y como se refirió en la gestión No. 10 del PCN, no fue

posible gestionar recursos adicionales para fortalecer la coordinación y
fortalecimiento del PCN, razón por la cual no se pudieron cumplir 7 de las 10
actividades especificadas en el Plan 2022.

Control de la información documentada : La información que hasta el momento

forma parte de la estrategia del PCN (Registros de reunión, plantillas,
documentos técnicos, comunicaciones, entre otras), se mantiene debidamente
controlada, estando disponible para su uso, protegida contra perdida de
confidencialidad, integridad o uso inadecuado, así como debidamente versionada
en el caso de documentos técnicos y políticas. Dicha información está contenida
en el servidor de carpetas compartidas YAKSA.

3.4. Operación

Lo evidenciado para este numeral, se especificó en forma detallada en el numeral

3.3 planeación, en lo relacionado con generación y pruebas de los DRP para los
sistemas misionales SIGEPII, SUIT y FURAG.

Conclusiones

1. A nivel general, se resalta el trabajo de seguimiento y coordinación

adelantado por el Profesional contratado para apoyar la estrategia de
implementación del PCN para este año, el cual está fundamentado sobre los
aspectos más relevantes que dictan las mejores prácticas establecidas en la
norma ISO 22301 – 2019, para sistemas de gestión de continuidad de
negocio.

2. Con el fin de ir complementado la estrategia de continuidad y hacerla

extensible transversalmente a todos los recursos del Departamento, es
importante tener en cuenta la implementación de los planes de recuperación
ante desastres tecnológicos, no solo para los sistemas misionales, sino
 también para los sistemas o herramientas de apoyo, tal como se efectuó con
la herramienta KACTUS.

3. Para los DRP que se vayan desarrollando por sistema, es importante

mantener la continuidad en el desarrollo previo del respectivo análisis de
impacto de negocio BIA, con el fin de orientar la definición de las prioridades
de recuperación de servicios, en caso de materialización de escenarios de
pérdida de continuidad de negoc io, estableciendo una estrategia de
recuperación, que en principio dará continuidad a las actividades críticas y
posteriormente a las demás. Tener en cuenta el instructivo de análisis de
impacto al negocio - versión 1 de junio de 2021 , que desarrollo la OAP.

4. Analizar la posibilidad de incluir las actividades del PCN, en la planeación

institucional, con el fin de mantener un mayor grado de control en el
cumplimiento de metas y un estado de avance propio de su gestión.

5. Para el desarrollo completo del DRP de SIGEPII, es necesario prever en el

nuevo contrato de nube privada, la infraestructura técnica del escenario de
contingencia alterno requerido para dar continuidad a la operación, en caso
de daño permanente o parcial del ambiente de producción de base.

6. Actualizar en el corto plazo los DRP de los sistemas misionales, con el fin
de poder adelantar pruebas de recorrido y técnicas que permita garantizar
que el DAFP podrá recuperar datos, aplicaciones críticas de negocio y
continuar con su funcionamiento después de una interrupción de los
servicios. Se recalca que posterior a la ejecución de las pruebas, se debe
generar un informe pormenorizado de resultado de las mismas, efectuando
la correspondiente retroalimentación a l os grupos de interés, así como el
establecimiento de posibles acciones de mejora en el plan de mejoramiento
institucional.
 7. Para el desarrollo de las pruebas de los DRP de los sistemas misionales y
de apoyo, es necesario asegurar que todo el equipo humano que debe
participar a nivel transversal, sea incluido en la programación de dichas
pruebas.

8. A través de la socialización que se efectuar á por medio del curso virtual

programado para el siguiente año en la plataforma MOOD LE, se debe
propender por empoderar a los líderes de proceso responsables de cada
escenario de emergencia, para que fortalezcan las acciones de continuidad
respectivas. Importante poder formar un equipo de continuidad de negocio.

9. Actualizar las sábanas de riesgo institucional registradas en el SGI, con la

integración de la columna tipo de riesgo, tal y como se publicó en la página
WEB de le Entidad, en la sección Transparencia/Inspección - vigilancia -
control/Mapa de Riesgo.

10. La alta Dirección debe considerar la posibilidad de poder ampliar los

recursos humanos y financieros, para fortalecer e implementar en su
totalidad el PCN en sus diferentes etapas ; en lo pertinente al talento
humano, poder contar con un profesional dedicado exclusivamente a
impulsar la estrategia del PCN sobre el estándar ISO 22301 y a nivel
financiero para adquirir y mantener la infraestructura técnica alterna
necesaria para dar continuidad a la operación.

LUZ STELLA PATIÑO JURADO

Jefe Oficina de Control Interno

Elaboró: Juan Mauricio Cornejo Rodriguez

Revisó y aprobó: Luz Stella Pati ño Jurado
Departamento Administrativo de la Función Pública
Carrera 6 n.º 12-62, Bogotá, D.C., Colombia
Conmutador: 7395656 Fax: 7395657
Web: www.funcionpublica.gov.co
eva@funcionpublica.gov.co
Línea gratuita de atención al usuario: 018000 917770
Bogotá, D.C., Colombia.