SISTEMA DE GESTION DE SEGURIDAD DE LA … de SG… · SGSI – Manual funcional 6 Como se ingresan...
Transcript of SISTEMA DE GESTION DE SEGURIDAD DE LA … de SG… · SGSI – Manual funcional 6 Como se ingresan...
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Manual funcional del usuario
SGSI – Manual funcional
Índice de Contenido
1 CUÁL ES EL MODELO CONCEPTUAL DEL MÓDULO SGSI? 2
2 CUALES ES LA CONFIGURACIÓN GENERAL NECESARIA PARA EL MODULO Y PARA EL SGSI? 2
3 COMO SE DEFINE EL PERFIL DEL USUARIO RESPONSABLE? 4
3.1 CUÁLES SON LAS TABLAS QUE SE REQUIEREN PARA PONER EN FUNCIONAMIENTO EL
MODULO (PARAMETRIZACIÓN)?_______________________________________________ ____ 4
4 COMO SE ESTABLECE LA POLÍTICA DEL SISTEMA? 10
5 COMO SE INGRESAN LOS ACTIVOS DE INFORMACIÓN DESDE EL ANÁLISIS INTERNO DEL
CONTEXTO ESTRATÉGICO? 11
6 COMO SE INGRESAN LOS ACTIVOS DE INFORMACIÓN DESDE EL ANÁLISIS EXTERNO DEL
CONTEXTO ESTRATÉGICO? 13
7 COMO SE REGISTRAN LOS REQUISITOS DE LAS PARTES INTERESADAS? 15
8 COMO SE DETERMINA EL ALCANCE DEL SISTEMA? 16
9 COMO VALORAR LA INFORMACIÓN DEL ACTIVO? 17
10 COMO SE IDENTIFICA EL RIESGO DEL ACTIVO? 19
11 COMO SE ANALIZA EL RIESGO? 22
12 COMO SE EVALÚA EL RIESGO PARA ESTABLECER EL TRATAMIENTO? 25
13 COMO SE LEVANTA EL PLAN DE ACCIÓN PARA TRATAR EL RIESGO? 29
14 COMO SE JUSTIFICAN LOS CONTROLES? 33
15 COMO SE REGISTRAN LOS INCIDENTES A LOS ACTIVOS DE INFORMACIÓN? 36
16 COMO SE CONSULTAN E INTERPRETAN LOS INFORMES? 37
SGSI – Manual funcional
1 Cuál es el modelo conceptual del módulo SGSI?
Se basa en la norma ISO 27001 y en lineamientos del componente de seguridad de la
estrategia de Gobierno en Línea
2 Cuales es la Configuración general necesaria para el modulo y para el SGSI?
El administrador debe crear las tablas generales o maestras más importantes como: El
Sistema, la Política, Los Objetivos, los procesos y los Usuarios a través del menú
Configuración General
Ilustración 1. Configuración general.
SGSI – Manual funcional
3 Como se define el perfil del usuario responsable?
Responsabilidad especial que se activa en el Perfil de personas que acceden al modulo
Ilustración 2. Definir perfiles.
3.1 Cuáles son las tablas que se requieren para poner en funcionamient o el modulo
(parametrización)?
En el módulo SGSI aparece opción Parametrización
Ilustración 3. Parametrización.
Se cuenta con varias tablas para parametrizar
SGSI – Manual funcional
Ilustración 4.Tablas de parametrización.
Se pueden definir los tipos de incidentes, eso con el fin de obtener estadísticas cuando se
levanten los Incidentes de SGSI
Ilustración 5. Tipos de incidentes.
Los Tipos de Activos Informáticos con el fin de obtener estadísticas e informes de la
clasificación de estos
SGSI – Manual funcional
Ilustración 6. Tipos de activos informáticos.
Manera como se puede clasificar la Información contenida en los activos de información
Ilustración 7. Clasificación de la información.
Lo que ocasiona la aparición de un riesgo en un activo de información
SGSI – Manual funcional
Ilustración 8. Efectos SGSI.
La tabla donde se registran los Controles de la versión de la norma actual
Ilustración 9. Objetivos de control.
Con sus respectivos niveles de la norma
SGSI – Manual funcional
Ilustración 10. Registro de Objetivos de control.
La tabla de Capacidades es útil como insumo a la etapa de Analisis Interno del Contexto
estrategico requerida en esta norma
Ilustración 11. Capacidades.
La tabla de Factores del entorno es util como insumo a la etapa de analisis externo del
Contexto estrategico requerida en esta norma
SGSI – Manual funcional
Ilustración 12. Factores.
Se deben definir los criterios al calificar el Impacto de los riesgos
Ilustración 13. Criterios de Valoración.
SGSI – Manual funcional
Se debe definir los criterios al calificar la frecuencia de exposición de un activo a los
riesgos.
Ilustración 14. Valoración probabilidad.
Se debe definir los criterios para aceptación de los riesgos
Ilustración 15. Criterios de aceptación del Riesgo.
SGSI – Manual funcional
4 Como se establece la política del Sistema?
Se cuenta con opción para involucrar la política.
Ilustración 16. Selección de la política.
Después de haber creado la política en la configuración inicial, aquí se selecciona la de
este sistema de gestión para que aparezca en algunos informes y formularios que la
necesitan como guía.
Ilustración 17. Selección de la política.
SGSI – Manual funcional
5 Como se ingresan los Activos de información desde el análisis Interno del contexto
estratégico?
La opción contiene 2 sub-etapas
Ilustración 18. Contexto estratégico.
En el Análisis Interno se parte de analizar algunas Capacidades Internas para identificar
Debilidades o Fortalezas.
Ilustración 19. Análisis estratégico.
SGSI – Manual funcional
Debido a estas, se pueden ver afectados Activos de Información, lo que será base para
registrar su información.
Esta atapa genera inventario de activos de información
Ilustración 20.Inventario de activos.
SGSI – Manual funcional
6 Como se ingresan los activos de información desde el análisis externo del contexto
estratégico?
En el Análisis Externo se parte de analizar algunos Factores del entorno para identificar
Amenazas u Oportunidades
Ilustración 21. Análisis externo.
Debido a estas, se pueden ver afectados Activos de Información, lo que será base para
registrar su información.
SGSI – Manual funcional
Esta etapa genera inventario de activos de información
Ilustración 22. Inventario de activos.
SGSI – Manual funcional
7 Como se registran los requisitos de las partes interesadas?
Se cuenta con opción para ello
Ilustración 23. Partes interesadas.
Se registran los requisitos de las Partes Interesadas que tengan que ver con los Activos de
Información
Ilustración 24. Partes interesadas.
SGSI – Manual funcional
8 Como se determina el Alcance del Sistema?
Se cuenta con opción para determinar el Alcance
Ilustración 25. Alcance del sistema.
Al determinar el alcance se deben seleccionar los procesos relacionados con el mismo
para encasillar la metodología a los activos que pertenecen a estos procesos
Ilustración 26. Procesos alcance del sistema.
SGSI – Manual funcional
9 Como valorar la información del Activo?
Se cuenta con opción para Valorar los Activos
Ilustración 27. Valoración de la información del activo.
El objetivo de la etapa es evaluar cada activo con base en los requisitos de esta norma, e
incluso la valoración económica si aplica
Ilustración 28. Valoración de la información del activo.
SGSI – Manual funcional
Para cada requisito se cuenta con lista de selección
Ilustración 29.Lista de Selección.
SGSI – Manual funcional
Cada una de las variables de cada requisito está documentada al poner el cursor en ella
Ilustración 30. Variab les de requisitos.
10 Como se identifica el riesgo del activo?
Se cuenta con opción para identificación del riesgo
Ilustración 31.Identificacion del riesgo.
El objetivo de la etapa es identificar y registrar los riesgos basado en las vulnerabilidades
del activo de información
SGSI – Manual funcional
Ilustración 32.Identificacion vulnerabilidades.
En la funcionalidad sirve de guía al usuario, los requisitos calificados anteriormente para
determinar con mayor facilidad las vulnerabilidades y por ahí derecho los riesgos
SGSI – Manual funcional
Igualmente se cuenta con los requisitos de las Partes Interesadas que deben analizarse
para el activo en cuanto a las vulnerabilidades (que afecten el cumplimiento del requisito)
y los riesgos por no cumplirlo
SGSI – Manual funcional
11 Como se analiza el riesgo?
Se cuenta con opción para Analizar el Riesgo
Ilustración 33. Análisis del riesgo.
El Objetivo de la etapa es aplicar los criterios de Probabilidad e Impacto al activo de
información
Ilustración 34. Criterios de probabilidad.
SGSI – Manual funcional
Al seleccionar el activo, al final del formulario aparece la funcionalidad para calificar estas
dos variables en el riesgo.
Ilustración 35. Variab les de análisis.
Al aplicar la variable probabilidad aparecen los criterios de la tabla creada
Ilustración 36. Criterios de Probabilidad
Al aplicar la variable Impacto, aparecen los criterios de la tabla creada
Ilustración 37. Criterios de impacto.
SGSI – Manual funcional
Al final los efectos, es decir, lo que ocasiona la aparición del riesgo sobre el activo
Ilustración 38. Selección de Efectos.
Esta es la matriz que se aplica para el análisis
Ilustración 39. Matriz de riesgos.
SGSI – Manual funcional
12 Como se evalúa el riesgo para establecer el tratamiento?
Se cuenta con opción para ello
Ilustración 40. Tratamiento del riesgo.
El Objetivo de la etapa es comenzar a configurar el tratamiento (posterior control) de
acuerdo a las ayudas que nos da la matriz después de analizar los riesgos del activo. De la
5ta columna hacia adelante es información generada automática por la posición del riesgo
en la matriz
Ilustración 41. Configurar tratamiento.
SGSI – Manual funcional
Al seleccionar el activo para esta actividad, se parte de las opciones de tratamiento para
tratar el riesgo
Ilustración 42.Opciones para tratar el riesgo.
SGSI – Manual funcional
Se dispone de vínculo para consultar el anexo de controles de la norma actualizada
Ilustración 43.Vinculo anexo norma.
SGSI – Manual funcional
Se cuenta allí con funcionalidad para seleccionar los Objetivos de control y sus controles
específicos para aplicar en el activo
Ilustración 44. Controles de los ob jetivos seleccionados.
SGSI – Manual funcional
13 Como se levanta el plan de acción para tratar el riesgo?
Se cuenta con opción para establecer el plan de acción que permitirá implantar el control
para tratar el riesgo
Ilustración 45. Realizar el plan de acción.
Cada activo podrá tener varias acciones para la implantación de controles
Ilustración 46.Plan de acción del riesgo.
SGSI – Manual funcional
Permite revisar si hay otros planes de acción abiertos de otros activos que de pronto
tengan que ver con el riesgo del activo corriente, es decir, que implanten controles que
sirven al activo. De esa manera no se abrirían varias acciones redundantes
Ilustración 47.Descripcion de acciones.
Permite seleccionar indicadores del módulo de Indicadores para hacer seguimiento a los
controles implantados
El dueño del riesgo debe aprobar desde su sesión, el plan de acción y el riesgo residual
Y al final las opciones para levantar el tipo de acción para implantar el control
SGSI – Manual funcional
Ilustración 48.Opciones para levantar tipo de acción
Automáticamente se abre la solicitud de plan de acción con Origen “Control Activo de
Información” y con varios campos llenos como el Activo de Información que estamos
trabajando, el proceso al que pertenece el activo, el riesgo a tratar en la descripción y el
efecto de la aparición del riesgo
SGSI – Manual funcional
Ilustración 49.Solicitud oportunidad de Mejora.
En la acción levantada en la etapa de investigación y plan de acción aparecen
automáticamente campos llenos como:
La causa que se refiere a las vulnerabilidades del activo
SGSI – Manual funcional
Ilustración 50.Solución a implantar.
Y la solución al control a implantar:
14 Como se justifican los controles?
Se cuenta con opción para Justificar los controles a implementar
SGSI – Manual funcional
Ilustración 51.Justificación de controles.
Esta funcionalidad despliega todos los controles del anexo de la norma, identificando
cuales fueron seleccionados y cuáles no, además de los controles adicionales registrados
por el usuario
A través del icono superior, y luego de seleccionar el control, puede justificar la utilización
de unos controles y la no utilización de otros.
Ilustración 52.Selección de controles
SGSI – Manual funcional
Ilustración 53. Selección de controles.
También puede justificar los controles adicionales registrados en los diferentes activos a
través del icono superior amarillo.
Ilustración 54.Activación de controles.
SGSI – Manual funcional
Como se ve a continuación
Ilustración 55. Justificación de controles adicionales.
15 Como se registran los Incidentes a los activos de información?
Se cuenta con opción para registrar los incidentes de información
Ilustración 56.Registro de incidentes.
En el formulario que aparece con Origen “Incidente de SGSI”, muestra varios campos a
registrar como:
SGSI – Manual funcional
El Proceso del activo
El Activo de Información
El tipo de incidente, los responsables de actuar y la descripción del incidente ocurrido
En la parte inferior puede registrar algunos datos propios del incidente
Ilustración 57.Registro de campos incidentes.
16 Como se consultan e interpretan los informes?
Se cuenta con opción para los informes del módulo
SGSI – Manual funcional
Ilustración 58.Informes.
Informes que tienen que ver con los activos, los controles, la declaración de aplicabilidad y
las estadísticas de los incidentes
Ilustración 59.Informes SGSI.
El inventario de activos con toda su información, incluyendo acciones que se relacionan
con el activo.
SGSI – Manual funcional
Ilustración 60. Informes de inventario de activos de información.
Se puede consultar alguna celda de la matriz de manera que se desplieguen los activos allí
ubicados.
Ilustración 61.Matriz colorimétrica.
Se cuenta con reporte para ordenar por importancia los riesgos, de manera que se
prioricen las acciones sobre estos
SGSI – Manual funcional
Ilustración 62.Priorización de riesgos.
Informe con los controles seleccionados y adicionales para cada Activo
Ilustración 63.Informe de los controles de los activos.
SGSI – Manual funcional
Ilustración 64.Informe complementario de controles.
El informe de declaración de aplicabilidad obligatorio e esta norma
Ilustración 65.Informe declaración de aplicabilidad.
SGSI – Manual funcional
Se cuenta con buscador de Incidentes con base en varias variables
Ilustración 66.Buscador de incidentes.
Reporte en texto de los incidentes
Ilustración 67.Reporte en texto de los incidentes.
SGSI – Manual funcional
Gráficos por tipo de incidentes entre periodos
Ilustración 68.Graficos por tipo de incidentes entre periodos.
SGSI – Manual funcional
Acciones levantadas por tipo de incidentes
Ilustración 69.Acciones por tipo de incidentes.
Gráfico que muestra la cantidad por Tipo de Incidentes a cada activo de información.
Ilustración 70.Grafico tipo de incidentes.
SGSI – Manual funcional
En torta también para cantidad de incidentes de información por Activo
Ilustración 71.Grafico de tortas.