SISTEMA DE GESTION DE SEGURIDAD DE LA … de SG… · SGSI – Manual funcional 6 Como se ingresan los activos de información desde el análisis externo del contexto estratégico?

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Manual funcional del usuario

SGSI – Manual funcional

Índice de Contenido

1 CUÁL ES EL MODELO CONCEPTUAL DEL MÓDULO SGSI? 2

2 CUALES ES LA CONFIGURACIÓN GENERAL NECESARIA PARA EL MODULO Y PARA EL SGSI? 2

3 COMO SE DEFINE EL PERFIL DEL USUARIO RESPONSABLE? 4

3.1 CUÁLES SON LAS TABLAS QUE SE REQUIEREN PARA PONER EN FUNCIONAMIENTO EL

MODULO (PARAMETRIZACIÓN)?_______________________________________________ ____ 4

4 COMO SE ESTABLECE LA POLÍTICA DEL SISTEMA? 10

5 COMO SE INGRESAN LOS ACTIVOS DE INFORMACIÓN DESDE EL ANÁLISIS INTERNO DEL

CONTEXTO ESTRATÉGICO? 11

6 COMO SE INGRESAN LOS ACTIVOS DE INFORMACIÓN DESDE EL ANÁLISIS EXTERNO DEL

CONTEXTO ESTRATÉGICO? 13

7 COMO SE REGISTRAN LOS REQUISITOS DE LAS PARTES INTERESADAS? 15

8 COMO SE DETERMINA EL ALCANCE DEL SISTEMA? 16

9 COMO VALORAR LA INFORMACIÓN DEL ACTIVO? 17

10 COMO SE IDENTIFICA EL RIESGO DEL ACTIVO? 19

11 COMO SE ANALIZA EL RIESGO? 22

12 COMO SE EVALÚA EL RIESGO PARA ESTABLECER EL TRATAMIENTO? 25

13 COMO SE LEVANTA EL PLAN DE ACCIÓN PARA TRATAR EL RIESGO? 29

14 COMO SE JUSTIFICAN LOS CONTROLES? 33

15 COMO SE REGISTRAN LOS INCIDENTES A LOS ACTIVOS DE INFORMACIÓN? 36

16 COMO SE CONSULTAN E INTERPRETAN LOS INFORMES? 37


1 Cuál es el modelo conceptual del módulo SGSI?

Se basa en la norma ISO 27001 y en lineamientos del componente de seguridad de la

estrategia de Gobierno en Línea

2 Cuales es la Configuración general necesaria para el modulo y para el SGSI?

El administrador debe crear las tablas generales o maestras más importantes como: El

Sistema, la Política, Los Objetivos, los procesos y los Usuarios a través del menú

Configuración General

Ilustración 1. Configuración general.


3 Como se define el perfil del usuario responsable?

Responsabilidad especial que se activa en el Perfil de personas que acceden al modulo

Ilustración 2. Definir perfiles.

3.1 Cuáles son las tablas que se requieren para poner en funcionamient o el modulo

(parametrización)?

En el módulo SGSI aparece opción Parametrización

Ilustración 3. Parametrización.

Se cuenta con varias tablas para parametrizar


Ilustración 4.Tablas de parametrización.

Se pueden definir los tipos de incidentes, eso con el fin de obtener estadísticas cuando se

levanten los Incidentes de SGSI

Ilustración 5. Tipos de incidentes.

Los Tipos de Activos Informáticos con el fin de obtener estadísticas e informes de la

clasificación de estos


Ilustración 6. Tipos de activos informáticos.

Manera como se puede clasificar la Información contenida en los activos de información

Ilustración 7. Clasificación de la información.

Lo que ocasiona la aparición de un riesgo en un activo de información


Ilustración 8. Efectos SGSI.

La tabla donde se registran los Controles de la versión de la norma actual

Ilustración 9. Objetivos de control.

Con sus respectivos niveles de la norma


Ilustración 10. Registro de Objetivos de control.

La tabla de Capacidades es útil como insumo a la etapa de Analisis Interno del Contexto

estrategico requerida en esta norma

Ilustración 11. Capacidades.

La tabla de Factores del entorno es util como insumo a la etapa de analisis externo del

Contexto estrategico requerida en esta norma


Ilustración 12. Factores.

Se deben definir los criterios al calificar el Impacto de los riesgos

Ilustración 13. Criterios de Valoración.


Se debe definir los criterios al calificar la frecuencia de exposición de un activo a los

riesgos.

Ilustración 14. Valoración probabilidad.

Se debe definir los criterios para aceptación de los riesgos

Ilustración 15. Criterios de aceptación del Riesgo.


4 Como se establece la política del Sistema?

Se cuenta con opción para involucrar la política.

Ilustración 16. Selección de la política.

Después de haber creado la política en la configuración inicial, aquí se selecciona la de

este sistema de gestión para que aparezca en algunos informes y formularios que la

necesitan como guía.

Ilustración 17. Selección de la política.


5 Como se ingresan los Activos de información desde el análisis Interno del contexto

estratégico?

La opción contiene 2 sub-etapas

Ilustración 18. Contexto estratégico.

En el Análisis Interno se parte de analizar algunas Capacidades Internas para identificar

Debilidades o Fortalezas.

Ilustración 19. Análisis estratégico.


Debido a estas, se pueden ver afectados Activos de Información, lo que será base para

registrar su información.

Esta atapa genera inventario de activos de información

Ilustración 20.Inventario de activos.


6 Como se ingresan los activos de información desde el análisis externo del contexto

estratégico?

En el Análisis Externo se parte de analizar algunos Factores del entorno para identificar

Amenazas u Oportunidades

Ilustración 21. Análisis externo.

Debido a estas, se pueden ver afectados Activos de Información, lo que será base para

registrar su información.


Esta etapa genera inventario de activos de información

Ilustración 22. Inventario de activos.


7 Como se registran los requisitos de las partes interesadas?

Se cuenta con opción para ello

Ilustración 23. Partes interesadas.

Se registran los requisitos de las Partes Interesadas que tengan que ver con los Activos de

Información

Ilustración 24. Partes interesadas.


8 Como se determina el Alcance del Sistema?

Se cuenta con opción para determinar el Alcance

Ilustración 25. Alcance del sistema.

Al determinar el alcance se deben seleccionar los procesos relacionados con el mismo

para encasillar la metodología a los activos que pertenecen a estos procesos

Ilustración 26. Procesos alcance del sistema.


9 Como valorar la información del Activo?

Se cuenta con opción para Valorar los Activos

Ilustración 27. Valoración de la información del activo.

El objetivo de la etapa es evaluar cada activo con base en los requisitos de esta norma, e

incluso la valoración económica si aplica

Ilustración 28. Valoración de la información del activo.


Para cada requisito se cuenta con lista de selección

Ilustración 29.Lista de Selección.


Cada una de las variables de cada requisito está documentada al poner el cursor en ella

Ilustración 30. Variab les de requisitos.

10 Como se identifica el riesgo del activo?

Se cuenta con opción para identificación del riesgo

Ilustración 31.Identificacion del riesgo.

El objetivo de la etapa es identificar y registrar los riesgos basado en las vulnerabilidades

del activo de información


Ilustración 32.Identificacion vulnerabilidades.

En la funcionalidad sirve de guía al usuario, los requisitos calificados anteriormente para

determinar con mayor facilidad las vulnerabilidades y por ahí derecho los riesgos


Igualmente se cuenta con los requisitos de las Partes Interesadas que deben analizarse

para el activo en cuanto a las vulnerabilidades (que afecten el cumplimiento del requisito)

y los riesgos por no cumplirlo


11 Como se analiza el riesgo?

Se cuenta con opción para Analizar el Riesgo

Ilustración 33. Análisis del riesgo.

El Objetivo de la etapa es aplicar los criterios de Probabilidad e Impacto al activo de

información

Ilustración 34. Criterios de probabilidad.


Al seleccionar el activo, al final del formulario aparece la funcionalidad para calificar estas

dos variables en el riesgo.

Ilustración 35. Variab les de análisis.

Al aplicar la variable probabilidad aparecen los criterios de la tabla creada

Ilustración 36. Criterios de Probabilidad

Al aplicar la variable Impacto, aparecen los criterios de la tabla creada

Ilustración 37. Criterios de impacto.


Al final los efectos, es decir, lo que ocasiona la aparición del riesgo sobre el activo

Ilustración 38. Selección de Efectos.

Esta es la matriz que se aplica para el análisis

Ilustración 39. Matriz de riesgos.


12 Como se evalúa el riesgo para establecer el tratamiento?

Se cuenta con opción para ello

Ilustración 40. Tratamiento del riesgo.

El Objetivo de la etapa es comenzar a configurar el tratamiento (posterior control) de

acuerdo a las ayudas que nos da la matriz después de analizar los riesgos del activo. De la

5ta columna hacia adelante es información generada automática por la posición del riesgo

en la matriz

Ilustración 41. Configurar tratamiento.


Al seleccionar el activo para esta actividad, se parte de las opciones de tratamiento para

tratar el riesgo

Ilustración 42.Opciones para tratar el riesgo.


Se dispone de vínculo para consultar el anexo de controles de la norma actualizada

Ilustración 43.Vinculo anexo norma.


Se cuenta allí con funcionalidad para seleccionar los Objetivos de control y sus controles

específicos para aplicar en el activo

Ilustración 44. Controles de los ob jetivos seleccionados.


13 Como se levanta el plan de acción para tratar el riesgo?

Se cuenta con opción para establecer el plan de acción que permitirá implantar el control

para tratar el riesgo

Ilustración 45. Realizar el plan de acción.

Cada activo podrá tener varias acciones para la implantación de controles

Ilustración 46.Plan de acción del riesgo.


Permite revisar si hay otros planes de acción abiertos de otros activos que de pronto

tengan que ver con el riesgo del activo corriente, es decir, que implanten controles que

sirven al activo. De esa manera no se abrirían varias acciones redundantes

Ilustración 47.Descripcion de acciones.

Permite seleccionar indicadores del módulo de Indicadores para hacer seguimiento a los

controles implantados

El dueño del riesgo debe aprobar desde su sesión, el plan de acción y el riesgo residual

Y al final las opciones para levantar el tipo de acción para implantar el control


Ilustración 48.Opciones para levantar tipo de acción

Automáticamente se abre la solicitud de plan de acción con Origen “Control Activo de

Información” y con varios campos llenos como el Activo de Información que estamos

trabajando, el proceso al que pertenece el activo, el riesgo a tratar en la descripción y el

efecto de la aparición del riesgo


Ilustración 49.Solicitud oportunidad de Mejora.

En la acción levantada en la etapa de investigación y plan de acción aparecen

automáticamente campos llenos como:

La causa que se refiere a las vulnerabilidades del activo


Ilustración 50.Solución a implantar.

Y la solución al control a implantar:

14 Como se justifican los controles?

Se cuenta con opción para Justificar los controles a implementar


Ilustración 51.Justificación de controles.

Esta funcionalidad despliega todos los controles del anexo de la norma, identificando

cuales fueron seleccionados y cuáles no, además de los controles adicionales registrados

por el usuario

A través del icono superior, y luego de seleccionar el control, puede justificar la utilización

de unos controles y la no utilización de otros.

Ilustración 52.Selección de controles


Ilustración 53. Selección de controles.

También puede justificar los controles adicionales registrados en los diferentes activos a

través del icono superior amarillo.

Ilustración 54.Activación de controles.


Como se ve a continuación

Ilustración 55. Justificación de controles adicionales.

15 Como se registran los Incidentes a los activos de información?

Se cuenta con opción para registrar los incidentes de información

Ilustración 56.Registro de incidentes.

En el formulario que aparece con Origen “Incidente de SGSI”, muestra varios campos a

registrar como:


El Proceso del activo

El Activo de Información

El tipo de incidente, los responsables de actuar y la descripción del incidente ocurrido

En la parte inferior puede registrar algunos datos propios del incidente

Ilustración 57.Registro de campos incidentes.

16 Como se consultan e interpretan los informes?

Se cuenta con opción para los informes del módulo


Ilustración 58.Informes.

Informes que tienen que ver con los activos, los controles, la declaración de aplicabilidad y

las estadísticas de los incidentes

Ilustración 59.Informes SGSI.

El inventario de activos con toda su información, incluyendo acciones que se relacionan

con el activo.


Ilustración 60. Informes de inventario de activos de información.

Se puede consultar alguna celda de la matriz de manera que se desplieguen los activos allí

ubicados.

Ilustración 61.Matriz colorimétrica.

Se cuenta con reporte para ordenar por importancia los riesgos, de manera que se

prioricen las acciones sobre estos


Ilustración 62.Priorización de riesgos.

Informe con los controles seleccionados y adicionales para cada Activo

Ilustración 63.Informe de los controles de los activos.


Ilustración 64.Informe complementario de controles.

El informe de declaración de aplicabilidad obligatorio e esta norma

Ilustración 65.Informe declaración de aplicabilidad.


Se cuenta con buscador de Incidentes con base en varias variables

Ilustración 66.Buscador de incidentes.

Reporte en texto de los incidentes

Ilustración 67.Reporte en texto de los incidentes.


Gráficos por tipo de incidentes entre periodos

Ilustración 68.Graficos por tipo de incidentes entre periodos.


Acciones levantadas por tipo de incidentes

Ilustración 69.Acciones por tipo de incidentes.

Gráfico que muestra la cantidad por Tipo de Incidentes a cada activo de información.

Ilustración 70.Grafico tipo de incidentes.


En torta también para cantidad de incidentes de información por Activo

Ilustración 71.Grafico de tortas.

Documents

SISTEMA DE GESTION DE SEGURIDAD DE LA … de SG… · SGSI – Manual funcional 6 Como se ingresan los activos de información desde el análisis externo del contexto estratégico?