Taller de Crisis · Inmersión

El Manual de Continuidad del Negocio,
explicado para decidir

Esta guía interactiva traduce el Manual del Sistema de Gestión de la Continuidad del Negocio de Colpensiones a un recorrido claro y visual. No es un documento de tecnología: es un mandato de gobernabilidad que define quién decide, quién actúa y cómo protegemos a la ciudadanía cuando la operación se interrumpe.

Desplácese
Paso 1 · El sistema

¿Para qué existe el Sistema de Gestión de la Continuidad del Negocio?

Antes de hablar de equipos y fases, conviene entender la razón de ser del sistema en una sola idea.

Colpensiones administra derechos que no pueden esperar: pensiones, historias laborales, trámites de los que dependen millones de personas afiliadas y pensionadas. Si un evento grave —un ciberataque, una falla mayor, una emergencia física— interrumpe la operación, la entidad debe estar en capacidad de reanudar sus procesos esenciales en el menor tiempo posible.

Para eso existe el Sistema de Gestión de la Continuidad del Negocio: un conjunto de políticas, equipos, planes y prácticas que preparan a la entidad para responder de forma ordenada, rápida y verificable ante lo inesperado, protegiendo a la vez las instalaciones, la tecnología, la información, al personal y la confianza de la ciudadanía.

La continuidad del negocio no es un asunto técnico delegable: es una responsabilidad directiva. Cada decisión de activación, priorización y retorno es un acto formal del gobierno de la entidad.

El sistema se apoya en el análisis de impacto al negocio (la matriz BIA): el estudio que identifica cuáles procesos son esenciales, cuánto tiempo pueden estar detenidos sin causar un daño intolerable y qué recursos mínimos necesitan para operar en contingencia.

🎯

Priorizar la recuperación

Saber de antemano qué procesos se recuperan primero y en qué orden, según su impacto sobre la misión y la ciudadanía.

🧰

Recursos mínimos definidos

Identificar el personal, la tecnología y los insumos indispensables para operar en un escenario de contingencia.

🧭

Cadena de mando establecida

Dejar claro quién decide cuando la operación normal se interrumpe, para que nadie improvise la autoridad.

📡

Comunicaciones efectivas

Mantener contacto confiable entre equipos, con la ciudadanía y con las autoridades, durante toda la crisis.

🛡️

Seguridad de las personas

Proteger la vida y la integridad del personal durante y después de la emergencia. Siempre es la primera prioridad.

🤝

Confianza de la ciudadanía

Minimizar el impacto sobre las personas afiliadas y pensionadas y preservar la credibilidad de la entidad.

Paso 2 · La organización

Tres frentes, nueve equipos, una sola respuesta

Cuando el plan se activa, la entidad no reacciona en desorden: se organiza en tres frentes coordinados bajo un mismo gobierno. Toque cada tarjeta para descubrir la responsabilidad principal de cada equipo.

⚖️

Comité de Crisis — el gobierno de la respuesta

Es la instancia de más alto nivel: valora la situación, declara formalmente la crisis, aprueba la activación de los planes, administra los recursos de la recuperación y prioriza la información. Lo convoca quien lidera la continuidad del negocio y sus decisiones quedan documentadas. Ningún equipo técnico puede sustituir sus decisiones.

1 + 3 Integración mínima: quien lidera (o su suplencia) y tres integrantes
Frente A

Recuperación de Recursos

Protege y restablece lo que la operación necesita para existir: personas, instalaciones y tecnología.

Respuesta a Emergencia y Salvaguarda
Lidera la Gerencia de Talento Humano y Relaciones Laborales
Tocar para descubrir ↻

Coordina en sitio la respuesta a situaciones que amenacen la vida y la seguridad del personal, informa a las familias y gestiona el relevo de personas ausentes.

Su brújula: las personas primero
Apoyo Administrativo
Lidera la Gerencia Administrativa
Tocar para descubrir ↻

Da soporte logístico y administrativo a todos los equipos durante la planeación, la recuperación y el retorno, y responde por la seguridad física de las sedes.

Su brújula: que nada falte para operar
Recuperación ante Desastres
Lidera la Gerencia de Tecnologías de la Información
Tocar para descubrir ↻

Restablece los servicios tecnológicos críticos desde el centro de datos alterno y conduce el regreso seguro al centro de datos principal.

Su brújula: la tecnología vuelve a servir
Respuesta a Incidentes
Lidera la Vicepresidencia de Seguridad y Riesgos Empresariales
Tocar para descubrir ↻

Ejecuta las medidas de reacción y contención ante incidentes de seguridad de la información y ciberseguridad, preservando la evidencia del ataque.

Su brújula: contener sin destruir evidencia
Frente B

Recuperación de Procesos

Vuelve a poner en marcha los procesos esenciales, en el orden y con los recursos que definió el análisis de impacto.

Recuperación a Nivel Central
Lidera la Gerencia de Riesgos y Seguridad de la Información
Tocar para descubrir ↻

Coordina la recuperación de los procesos esenciales del nivel central, de la mano de quien lidera la continuidad y de los liderazgos de los procesos impactados.

Su brújula: primero lo esencial
Recuperación de Oficinas
Lidera la Gerencia de Servicio y Atención a la Ciudadanía
Tocar para descubrir ↻

Restablece los puntos de atención con las direcciones regionales, activa oficinas alternas y la modalidad de trabajo en casa para no dejar sin atención a la ciudadanía.

Su brújula: la ciudadanía sigue atendida
🔗
Terceros críticos: los proveedores de los que dependen los procesos esenciales hacen parte de la respuesta. Sus acuerdos de servicio deben prever la activación de sus propios planes de continuidad.
Frente C

Manejo de Crisis

Protege la confianza: administra la información, la comunicación y las obligaciones de la entidad durante la crisis.

Comunicaciones en Crisis
Lidera la Oficina de Relacionamiento y Comunicaciones
Tocar para descubrir ↻

Define la estrategia de comunicación con cada grupo de interés, monitorea medios y redes sociales, y designa la vocería única autorizada para hablar hacia afuera.

Su brújula: un solo mensaje, a tiempo
Apoyo Legal
Lidera la Oficina Asesora de Asuntos Legales
Tocar para descubrir ↻

Interpreta las implicaciones jurídicas de la crisis, advierte los efectos legales de cada acción y asegura que el Comité considere las obligaciones de la entidad, incluidos los reportes a las autoridades.

Su brújula: decidir sin crear un problema mayor
📢
Regla que nunca se rompe: solo la vocería oficial autorizada emite comunicaciones externas. Cualquier solicitud de medios se canaliza a través de la Oficina de Relacionamiento y Comunicaciones.
💡
Idea para llevar: los tres frentes trabajan en paralelo, pero no en silos. El Comité de Crisis los articula, quien lidera la continuidad del negocio los coordina, y todos responden a las mismas prioridades definidas por el análisis de impacto al negocio.
Paso 3 · La ruta de la respuesta

Las cinco fases del ciclo de continuidad

Toda crisis se recorre por la misma ruta, sin saltarse etapas. Seleccione cada fase para ver qué ocurre, quién decide y cuál es la señal de que la fase se cumplió bien. Esta es la pieza central del manual: durante el taller, ubicarse en la fase correcta será la mitad de la respuesta.

FASE 1 / 5

Prevención

La crisis se gana antes de que empiece.
🎬 Qué ocurre
    ⚖️ Quién decide
    Señal de éxito

    Paso 4 · Cómo actuar

    Principios de actuación en crisis

    Siete reglas de comportamiento que aplican a cualquier persona de la entidad, en cualquier fase. Toque cada principio para ver cómo se traduce en la práctica.

    📞Reporte por el canal formal

    Todo evento anómalo se informa de inmediato por los canales establecidos: la mesa de servicios, la herramienta de gestión de riesgos o quien lidera la continuidad del negocio. Nunca se guarda ni se comenta por fuera del plan.

    En la práctica: si algo se ve extraño en su pantalla, en su oficina o en un trámite, repórtelo ya. Un reporte a tiempo puede ser la diferencia entre un incidente y una crisis.

    Tocar para ver la práctica ▾

    🔍Valorar antes de escalar

    Antes de convocar al gobierno de crisis se hace una estimación rápida del impacto: personas, procesos, tecnología, instalaciones. Ni pánico que paraliza, ni calma que oculta.

    En la práctica: la valoración preliminar debe ser ágil —cuestión de horas, no de días— y suficiente para que el Comité decida con información y no con rumores.

    Tocar para ver la práctica ▾

    📜La declaratoria es un acto formal

    Activar los planes de continuidad es una decisión del Comité de Crisis, no de un área técnica. Siempre queda constancia documentada de la decisión y de quiénes la tomaron.

    En la práctica: ningún equipo activa el centro de datos alterno ni traslada operaciones sin la decisión formal comunicada por la línea de mando. La formalidad protege a todas las personas que ejecutan.

    Tocar para ver la práctica ▾

    👥Quórum del gobierno de crisis

    El Comité de Crisis sesiona como mínimo con quien lo lidera (o su suplencia) y tres integrantes. Y nunca pueden estar ausentes, al mismo tiempo, la persona principal y sus suplencias de una misma área.

    En la práctica: las suplencias no son un formalismo. Cada integrante del Comité debe saber quién lo reemplaza y esa persona debe estar tan preparada como la titular.

    Tocar para ver la práctica ▾

    📊Prioridades según el análisis de impacto

    Qué se recupera primero, con qué recursos y en cuánto tiempo no se decide en caliente: lo define de antemano la matriz BIA, con los tiempos máximos tolerables de cada proceso esencial.

    En la práctica: cuando los recursos escasean, la matriz BIA es el árbitro. Los procesos con menor tiempo tolerable de interrupción van primero, aunque otros griten más fuerte.

    Tocar para ver la práctica ▾

    🎙️Vocería única

    Hacia afuera habla únicamente la vocería oficial autorizada. Hacia adentro, los mensajes se coordinan para que todo el personal reciba la misma información por los canales institucionales.

    En la práctica: si un medio de comunicación, una persona influyente o un contacto externo le pide información, la respuesta es siempre la misma: remitir a la vocería oficial. Opinar "a título personal" también rompe la regla.

    Tocar para ver la práctica ▾

    🔄Retorno verificado y lecciones aprendidas

    Se vuelve a la operación normal solo cuando las condiciones se verifican: el peligro terminó, la infraestructura principal está probada y la información está sincronizada y validada. Después, todo evento se convierte en aprendizaje que mejora el sistema.

    En la práctica: "ya parece que funciona" no es un criterio. El retorno es una decisión del Comité con lista de verificación cumplida. Y la crisis no se cierra hasta documentar qué funcionó, qué falló y qué se va a ajustar.

    Tocar para ver la práctica ▾
    Paso 5 · Confirmar comprensión

    Auto-chequeo: ¿cómo actuaría usted?

    Seis situaciones breves para confirmar lo esencial. Es un ejercicio personal de repaso, con retroalimentación inmediata; no hace parte de las preguntas evaluadas del taller.

    Ponga a prueba su lectura

    Elija una opción en cada situación. La retroalimentación aparece al instante.

    0 / 6 respondidas

    Ya tiene el mapa. Ahora viene el territorio.

    Durante el Taller de Crisis, cada situación le pedirá ubicarse en una fase, reconocer a los equipos convocados y aplicar estos principios. Vuelva a esta guía cuantas veces lo necesite: está diseñada para consultarse durante todo el ejercicio.

    Volver al inicio ↑