Manual de usuario

Versin 0.4; Marzo 2010

http://www.securia.es/ http://www.ceeisec.com/

Este documento se distribuye bajo los trminos de la licencia Creative Commons 2.5. (Ms informacin en http://creativecommons.org/licenses/by-sa/2.5/es/)

Pgina 1 de 64

Versin 0.4

Manual de Usuario

Pgina 2 de 64

Contenido 1 1.1 1.2 1.3 2 2.1 3 3.1 3.2 INTRODUCCIN .......................................................................................... 4 Descripcin............................................................................................... 4 Requerimientos ......................................................................................... 5 Instalacin. Puesta en funcionamiento. ........................................................ 5 Entorno de programa cliente ....................................................................... 8 Conexin con el sistema. Programa cliente. .................................................. 8 Mdulo de Gestin de Incidencias y No Conformidades ............................ 11 Roles de usuario ......................................................................................11 Incidencias ..............................................................................................11 Nueva incidencia ................................................................................11 Listado de notificaciones. Incidencias nuevas. ........................................13 Listado de incidencias tcnicas .............................................................13 Crear acciones correctivas para incidencias tcnicas ...............................14 Control de eficacia de las acciones correctivas .......................................15 Creacin de informes. Incidencias y listados ..........................................16

3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.3

No conformidades ....................................................................................16 Crear notificaciones de No Conformidades .............................................16 Listado de No Conformidades...............................................................18 Crear acciones correctivas para No conformidades .................................18 Control de eficacia de las acciones correctivas .......................................19 Creacin de informes. No Conformidades y listados ................................19

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 4 4.1

Mdulo de Mejora Continua ....................................................................... 20 Acciones preventivas y de mejora ..............................................................20 Crear acciones preventivas y de mejora ................................................20 Acciones de Mejora.............................................................................21 Acciones Preventivas ..........................................................................22

4.1.1 4.1.2 4.1.3 5 5.1 5.2

Mdulo de Gestin Documental ................................................................. 23 Nuevo documento ....................................................................................23 Biblioteca ................................................................................................25 Biblioteca documental .........................................................................25 Lectura obligada ................................................................................30

5.2.1 5.2.2 6 6.1

Mdulo de Anlisis de Riesgos .................................................................. 31 Configuracin ..........................................................................................31 Dimensiones y criterios .......................................................................31 Escenarios .........................................................................................31 Controles ..........................................................................................32

6.1.1 6.1.2 6.1.3

Versin 0.4

Manual de Usuario

Pgina 3 de 64

6.1.4 6.1.5 6.1.6 6.2

Vulnerabilidades.................................................................................33 Niveles de riesgo ................................................................................34 Probabilidad ......................................................................................35

Anlisis ...................................................................................................35 Actividad y Proceso de negocio ............................................................35 Activos..............................................................................................36 Amenazas .........................................................................................40 Test Inicial ........................................................................................41 Clculo del Riesgo Intrnseco ...............................................................42 Clculo del Riesgo Efectivo ..................................................................43 SOA .................................................................................................45 Plan de Accin ...................................................................................45 Clculo del Riesgo Residual .................................................................46

6.2.1 6.2.2 6.2.3 6.2.4 6.2.5 6.2.6 6.2.7 6.2.8 6.2.9 7 7.1 7.2 7.3 7.4 7.5 7.6 8 8.1 8.2 8.3 9 9.1 9.2 9.3 9.4 9.5

Entorno de Programa de Administracin. .................................................. 49 Conexin con el sistema. Programa de Administracin ..................................49 Crear nuevo SGSI ....................................................................................49 Eliminar un SGSI existente ........................................................................50 Modificar un SGSI existente .......................................................................51 Usuarios de un SGSI .................................................................................51 Apartados de la norma ..............................................................................52 Administracin del Mdulo de Gestin de Incidencias ............................... 54 Perfiles de usuario ....................................................................................54 Prioridades de incidencia ...........................................................................55 Tipos de incidencias ..................................................................................55 Administracin del Mdulo de Gestin Documental ................................... 56 Perfiles de usuario ....................................................................................56 Grupos de Usuarios ..................................................................................57 Grupos de documentos .............................................................................58 Aprobadores ............................................................................................60 Privilegios................................................................................................60 Privilegios sobre los grupos de documentos ...........................................60 Privilegios sobre los documentos ..........................................................61

9.5.1 9.5.2 10

Administracin del Mdulo de Anlisis de Riesgos .................................... 63

Versin 0.4

Manual de Usuario

Pgina 4 de 64

1 INTRODUCCIN
La aplicacin SecuriaSGSI cubre de forma automtica el proceso de implantacin, puesta en funcionamiento, control y mejora de un Sistema de Gestin de Seguridad de la Informacin (SGSI).

El paquete de instalacin para sistemas GNU/Linux y Windows, est accesible desde los sitios web:

http://www.securia.es/ http://www.ceeisec.com/

SecuriaSGSI est formado por una aplicacin de administracin en la que se configuran todos los parmetros necesarios para implantar y mantener un SGSI. Tambin se aaden los usuarios que intervienen en el sistema y sus respectivos roles de usuario. Este programa de administracin conecta contra una base de datos en la que se almacena toda la informacin relativa al sistema.

Por otro lado, SecuriaSGSI incluye un programa cliente a travs del cual permitir a cada usuario acceder al sistema y poder realizar las funciones necesarias en funcin de su perfil de usuario en el sistema.

Este manual

cubre el

funcionamiento del programa

cliente y el

programa de

administracin de SecuriaSGSI.

1.1

Descripcin

El programa cliente de SecuriaSGSI tiene como funcin principal conectar al usuario al SGSI, validando previamente la identidad de ste, y otorgando los privilegios de acceso correspondientes previamente establecidos. Una vez conectado, el programa proporciona toda la funcionalidad necesaria para interactuar con los mdulos presentes en el SGSI.

El programa de administracin es el encargado de configurar los mdulos que componen el sistema, as como los usuarios con acceso al mismo, y sus privilegios de acceso.

Versin 0.4

Manual de Usuario

Pgina 5 de 64

Los mdulos incluidos en el sistema son los siguientes:

1. Mdulo de Gestin de Incidencias. 2. Mdulo de Mejora Continua. 3. Mdulo de Gestin Documental. 4. Anlisis y Gestin de Riesgos.

1.2

Requerimientos

Para garantizar el correcto funcionamiento de SecuriaSGSI, el equipo donde vaya a instalarse, necesita tener instalado previamente los siguientes paquetes software:

Mquina virtual Java (JRE), versin 6.0 o superior (http://www.java.com/es/download/).

Base de datos PostgreSQL, versin 8.2 o superior (http://www.postgresql.org/ftp/binary/).

La base de datos PostgreSQL slo ser necesaria tenerla instalada en un equipo servidor que dar servicio al resto.

1.3

Instalacin. Puesta en funcionamiento.

Para instalar la aplicacin es suficiente con ejecutar el paquete de instalacin, que contiene la aplicacin (SECURIASGSI-x.y.x), en un directorio del equipo local con privilegios para ello.

Una vez desempaquetado el programa1, es necesario crear la base de datos principal de la aplicacin. Para ello, hay que acceder al directorio llamado instalar, situado en la ruta de instalacin seleccionada, y lanzar el script siguiente:

1. Desde GNU/Linux: crear_bdd.sh 2. Desde MS Windows: crear_bdd.bat

El paquete contiene el programa de administracin y el programa cliente.

Versin 0.4

Manual de Usuario

Pgina 6 de 64

Previamente es necesario haber establecido las variables del script, comando, host, puerto, bdd (Base de datos) y usuario, con los valores correctos del sistema.

Puede encontrar ms instrucciones de instalacin en el fichero leeme.txt del directorio docs.

Para lanzar las aplicaciones de administrador y cliente, bastar con lanzar uno de los siguientes comandos, dependiendo del sistema operativo sobre el que se ejecute:

1. GNU/Linux. Desde el directorio bin, ejecutando: SECURIASGSI_Cliente.sh para el programa cliente. SECURIASGSI_Administracion.sh para el programa de administracin. O bien, lanzando las aplicaciones desde el men SECURIASGSI de Gnome o Kde.

2. MS Windows. Ejecutar las aplicaciones desde el men inicio, seccin programas, en el grupo de aplicaciones establecido en la instalacin.

Versin 0.4

Manual de Usuario

Pgina 7 de 64

Parte I

Programa cliente

Versin 0.4

Manual de Usuario

Pgina 8 de 64

Captulo 2

2
2.1

Entorno de programa cliente

Conexin con el sistema. Programa cliente.

La conexin con el sistema se realiza a travs del formulario de conexin (Figura 1). Al iniciar el sistema se accede directamente a dicho formulario; tambin ser accesible desde la barra de botones y desde el men principal de la aplicacin cliente.

Para establecer la conexin con el SGSI el programa solicita la siguiente informacin: 1. Datos de Servidor. (a) Servidor. Datos del servidor de base de datos contra el cual se realiza la

sesin de usuario. Admite una URI completa, una direccin IP o nombre de mquina. (b) Puerto. Puerto en el que escucha el servidor.

(c) SGSI. Nombre del sistema SGSI almacenado en el servidor. 2. Datos de usuario. (a) Usuario. Nombre del usuario con el que se desea identificar en el servidor.

Este usuario se crea desde el programa administracin. (b) Contrasea. Clave de acceso correspondiente al usuario para el servidor y

SGSI al que se quiere conectar. 3. El desplegable Sesin. (a) La caja desplegable de sesin permite guardar los datos de conexin

para evitar tener que volver a teclear los mismos datos en posteriores accesos. Para ello es necesario activar la casilla de guardar datos de sesin.

Versin 0.4

Manual de Usuario

Pgina 9 de 64

Figura 1. Ventana de conexin.

Una vez que el usuario se identifica con una cuenta de usuario vlida en el servidor de base de datos, el sistema carga la ventana principal del programa cliente. Desde la cual, ser posible acceder a todas las funcionalidades de la aplicacin.

El sistema est organizado en diversos mdulos agrupados por su funcionalidad. El entorno de la aplicacin es el que se muestra a continuacin en la Figura 2, en su modo inicial previo a realizar la conexin.

Figura 2. Entorno de programa cliente.

Versin 0.4

Manual de Usuario

Pgina 10 de 64

Una vez realizada la conexin con xito contra el servidor, ste identifica al usuario, y el programa cliente le concede los privilegios que correspondan, posibilitando su acceso a los recursos y funcionalidades establecidos previamente por el responsable del SGSI (nico usuario con acceso total al servidor de base de datos).

El entorno habilitar aquellos accesos, mens, etc. Para los que el usuario tenga privilegios, como se muestra en la Figura 3.

Figura 3. Entorno de programa cliente, conectado.

Versin 0.4

Manual de Usuario

Pgina 11 de 64

Captulo 3

Mdulo de Gestin de Incidencias y No Conformidades

El mdulo de gestin de incidencias cubre todos los requerimientos de la norma ISO 27001 en cuanto a gestin y tratamiento de incidencias y no conformidades.

Del mismo modo el programa genera informes de incidencias y no conformidades. La forma de acceder a este mdulo es haciendo clic sobre el botn de Gestin de incidencias de la barra de botones vertical de la columna izquierda. 3.1 Roles de usuario

En el mdulo de gestin de incidencias los usuarios se clasifican bajo tres roles o perfiles de usuario.

Usuario de sistema. Es el perfil normal para todas las personas que integran el sistema. Sus privilegios son los de poder registrar incidencias en el sistema, y consultar las incidencias existentes con toda su informacin, acciones correctivas, etc. Responsable tcnico. Los usuarios con este perfil, adems de poder realizar las mismas tareas que los usuarios, son los responsables de realizar las acciones correctivas sobre las incidencias, y establecer el control de eficacia. Responsable del sistema. Slo est permitido que haya un nico responsable del sistema; el usuario con este perfil tiene acceso a toda la informacin contenida en el gestor de incidencias. Es el encargado de decidir si una notificacin de incidencia es realmente una incidencia tcnica o una no conformidad. Tambin se encarga de gestionar las no conformidades, asignar incidencias a cualquier usuario, as como decidir en qu momento cerrar las incidencias y las no conformidades. 3.2 Incidencias

3.2.1 Nueva incidencia Todos aquellos eventos capaces de comprometer la seguridad de la informacin, deben ser registrados en el sistema como incidencias y deben aplicarse sobre ellos las acciones correctivas necesarias.

Versin 0.4

Manual de Usuario

Pgina 12 de 64

En el rbol de secciones de la columna izquierda aparece la opcin llamada incidencias, a travs de la cual se accede al formulario de alta de incidencias, Figura 4. En ste se solicita al usuario una serie de datos necesarios para el registro, como son:

Notificador (por defecto toma el usuario que est creando la notificacin de la incidencia). Fecha de la incidencia. Estado de la incidencia. Inicialmente el estado es nueva, hasta que sea revisada por el responsable del sistema y decida si se trata de una incidencia tcnica o de una no conformidad. Prioridad. En funcin de la importancia o urgencia de la incidencia debe establecerse una prioridad en funcin de la cual ser atendida. Tipo. Es necesario clasificar las incidencias en base a unos tipos definidos previamente en el SGSI. Descripcin. El notificador de la incidencia debe ofrecer algunos detalles

descriptivos sobre el evento. Causa. Este campo indica la/s posible/s causa/s que han producido la incidencia. Deber ser rellenado por el responsable tcnico que se encargue de aplicar las correspondientes acciones.

Figura 4. Formulario de notificacin de incidencia.

Versin 0.4

Manual de Usuario

Pgina 13 de 64

3.2.2 Listado de notificaciones. Incidencias nuevas. Las nuevas notificaciones de incidencias aparecen en el listado correspondiente a la opcin Nuevas incidencias de seguridad del rbol de secciones. En este listado aparecen las incidencias registradas en el sistema y que todava el responsable del sistema no ha clasificado como incidencia tcnica o como no conformidad.

Haciendo click sobre uno de los registros del listado, se abre el formulario de consulta mostrando toda la informacin asociada a la incidencia, formulario de la Figura 4.

Si es el responsable de sistema quin accede a la notificacin, adems de los campos descritos, ver dos cajas de seleccin a travs de las cuales podr:

1. Clasificar como, clasificar la notificacin como incidencia tcnica o como no conformidad. 2. Asignar a, en caso de que se clasifique como incidencia tcnica el programa ofrece la posibilidad de asignar un responsable de la incidencia, que deber realizar acciones correctivas posteriormente.

nicamente el responsable de sistema es capaz de realizar estas acciones. 3.2.3 Listado de incidencias tcnicas Desde el rbol de secciones de la columna izquierda, dentro de la seccin de incidencias, se accede a la opcin de Incidencias Tcnicas. En este listado se muestran las incidencias tcnicas registradas en el sistema, haciendo clic sobre una de ellas se abre el formulario de consulta mostrando todos los datos de la incidencia junto al listado de acciones correctivas aplicadas a sta. Figura 5.

Desde esta ventana se permite realizar las siguientes acciones:

1. Aadir nuevas acciones correctivas: Tanto el responsable de sistema, como los responsables tcnicos, tienen acceso a esta funcionalidad. (ver punto 3.2.4). 2. Crear informe: Tanto el responsable de sistema, como los responsables tcnicos, pueden generar informes de incidencias con todos sus datos para imprimir, o guardar en un archivo.

Versin 0.4

Manual de Usuario

Pgina 14 de 64

3. Modificar causa: Tanto el responsable de sistema, como los responsables tcnicos, pueden modificar la causa que produjo la incidencia. 4. Cambiar estado: nicamente el responsable de sistema, puede modificar

manualmente el estado de la incidencia. En este caso los posibles estados hacia los que se puede pasar una incidencia son: (a) (b) Cerrada. En este punto puede cerrar la incidencia. No conformidad. Si lo considera necesario, se puede generar una nueva no

conformidad a partir de la incidencia. (c) Incidencia tcnica. Si la incidencia tiene asociadas acciones correctivas, se encuentra en estado de pendiente de implantacin, si estas acciones han sido implantadas y tienen realizado el control de eficacia, pasan a estado de pendiente de revisin por el responsable de sistema, que decidir cul de estos estados (a,b,c) corresponde a la incidencia. 3.2.4 Crear acciones correctivas para incidencias tcnicas Los responsables tcnicos y el responsable de sistema son los perfiles con privilegios para crear acciones correctivas asociadas a las incidencias tcnicas.

Desde la ventana de detalle de incidencia, se accede al formulario de crear acciones correctivas para la incidencia actual haciendo clic en el botn de nueva accin correctiva.

Desde el formulario (Figura 5), se pedir al usuario que introduzca la siguiente informacin relativa a la accin:

1. Id Accin. Es el identificador nico de accin. Este campo obtiene su valor automticamente desde el programa. 2. Fecha. Fecha en la que se establece la accin. 3. Accin. Descripcin de la/s tarea/s que componen la accin. 4. Plazo (das). Nmero de das estimado para llevar a cabo la accin. 5. Coste (Euros). Coste econmico asociado a la implantacin de la accin. 6. Responsable de implantacin. Usuario al que se le notificar la responsabilidad de implantacin de la accin. El programa abrir el cliente de correo por defecto para que el usuario enve la notificacin.

Versin 0.4

Manual de Usuario

Pgina 15 de 64

Figura 5. Acciones correctivas.

3.2.5 Control de eficacia de las acciones correctivas A cada accin correctiva que se implanta hay que efectuar un control de eficacia, que ms tarde ser necesario para valorar si se cierra o no una incidencia.

Para ello hay que acceder al formulario de control de eficacia desde la ventana de acciones correctivas (Figura 5) el botn de Control de eficacia.

En este formulario (Figura 6) se pedir la siguiente informacin:

1. Fecha. El da en que se realiza el control. 2. Responsable del control. Persona identificada en el sistema responsable de realizar el control. 3. Mtodo de control y plazo. Descripcin del mtodo y el plazo empleado para definir la eficacia de la accin. 4. Mtodo de control realizado. Casilla de verificacin para confirmar si

efectivamente se ha llevado a cabo la accin correctiva. 5. Ha sido revisada. Casilla de verificacin para confirmar que el responsable de sistema ha revisado la eficacia de la accin. Esta casilla debe activarla, si corresponde, slo el responsable de sistema. 6. Ha sido eficaz. Casilla de verificacin para confirmar si ha sido eficaz la accin correctiva. En caso de que no lo haya sido se activa automticamente la caja de texto inferior para indicar los motivos por los cuales no ha sido eficaz.

Versin 0.4

Manual de Usuario

Pgina 16 de 64

Figura 6. Control de eficacia.

3.2.6 Creacin de informes. Incidencias y listados Es posible crear informes de las incidencias, tanto en formato de listado de incidencias como en formato de detalle de una incidencia en particular, adjuntando toda su informacin y su/s accin/es correctiva/s. Para generar informes en forma de listado, basta pulsar el botn de Mostrar informe desde cualquiera de los listados de incidencias tcnicas e incidencias nuevas. Para generar informes de detalle de incidencias en formato de detalle, hay que pulsar el botn de Mostrar informe desde la ventana de detalle de incidencia, una vez seleccionada desde un listado. 3.3 No conformidades

3.3.1 Crear notificaciones de No Conformidades

Las incidencias que representan No Conformidades se pueden introducir en el sistema de dos formas.

Por un lado, a travs del formulario de nueva No Conformidad accesible desde el men del rbol de secciones de la columna izquierda, Figura 7. En este formulario se solicita al usuario la siguiente informacin:

Versin 0.4

Manual de Usuario

Pgina 17 de 64

1. Apartado de la norma; Hay que indicar qu apartado de la norma es el que se ha visto afectado. 2. Fecha; da en el que se detecta o notifica la No conformidad. 3. Asunto; Breve resumen para identificar la notificacin. 4. Descripcin; Conformidad. 5. Causa; Motivos que han producido la No Conformidad. Campo para resumir detalladamente los detalles de la No

Por otro lado, una No Conformidad, puede provenir de una incidencia tcnica previamente notificada por alguno de los usuarios del sistema. En este caso, es el responsable de sistema quin tiene que decidir si una notificacin de incidencia se gestiona como incidencia tcnica o como No Conformidad (ver punto 3.2.2).

Figura 7. Nueva No Conformidad.

Las No Conformidades slo pueden ser notificadas y gestionadas por el responsable de sistema. Para la resolucin de stas, ser necesario aplicar acciones correctivas, que s podrn ser asignadas a responsables tcnicos o usuarios del sistema.

Versin 0.4

Manual de Usuario

Pgina 18 de 64

3.3.2 Listado de No Conformidades

Desde el men del rbol de secciones de la columna izquierda es posible acceder al listado de No Conformidades, en l aparecen todos los registros presentes en el sistema, es posible filtrar el listado por campos, fechas, etc.

Este listado, al igual que toda la seccin de No conformidades slo est accesible para el usuario responsable de sistema. El resto de usuarios no tienen ningn tipo de acceso a esta seccin.

Seleccionando un registro del listado se muestra la ventana de detalle de la No Conformidad.

En esta ventana se muestra toda la informacin tal y como aparece en la Figura 7. Adems se muestra el listado de acciones correctivas asociadas a la No Conformidad. Tambin aparecen en esta ventana de detalle tres botones con las siguientes funcionalidades: 1. Nueva Accin Correctiva. Permite aadir acciones correctivas a la No Conformidad. (Ver punto 3.3.3). 2. Mostrar informe: El responsable de sistema puede generar informes de No Conformidades con todos sus datos para imprimir, o guardar en un archivo. 3. Cambiar estado a; El responsable de sistema puede modificar el estado de la No Conformidad. Los estados posibles son: (a) (b) Cerrada. Da por cerrada y resuelta una No Conformidad. No Conformidad. Se mantiene abierta, en espera de resolucin.

3.3.3 Crear acciones correctivas para No conformidades De forma similar a incidencias tcnicas, se aplican acciones correctivas a las No conformidades. Para ello, el responsable de sistema, pulsando el botn de Nueva accin correctiva desde la ventana de detalle de No Conformidad, podr introducir la informacin necesaria: Desde el formulario (Figura 5), se pedir al usuario que introduzca la siguiente informacin relativa a la accin:

Versin 0.4

Manual de Usuario

Pgina 19 de 64

1. Id Accin. Es el identificador nico de accin. Este campo obtiene su valor automticamente desde el programa. 2. Fecha. Fecha en la que se establece la accin. 3. Accin. Descripcin de la/s tarea/s que componen la accin. 4. Plazo (das). Nmero de das estimado para llevar a cabo la accin. 5. Coste (Euros). Coste econmico asociado a la implantacin de la accin. 6. Responsable de implantacin. Usuario al que se le notificar la responsabilidad de implantacin de la accin. El programa abrir el cliente de correo por defecto para que el usuario enve la notificacin. 3.3.4 Control de eficacia de las acciones correctivas A las acciones correctivas de No Conformidades se les aplica un control de eficacia del mismo modo que se aplica a las incidencias tcnicas. Ver el punto 3.2.5. 3.3.5 Creacin de informes. No Conformidades y listados La generacin de informes de No conformidades es similar a la gestin de informes de incidencias tcnicas. Para generar informes en forma de listado, basta pulsar el botn de Mostrar Informe desde cualquiera de los listados de No Conformidades.

Para generar informes de detalle de No Conformidades en formato de detalle, hay que pulsar el botn de Mostrar informe desde la ventana de detalle de No Conformidad, una vez seleccionada desde un listado.

Versin 0.4

Manual de Usuario

Pgina 20 de 64

Captulo 4

Mdulo de Mejora Continua

4.1

Acciones preventivas y de mejora

El mdulo de Mejora continua ofrece la posibilidad de introducir acciones que irn enfocadas a la prevencin de incidencias y a la mejora del sistema. Son las acciones preventivas y las acciones de mejora.

Para acceder a este mdulo, es necesario hacer clic en el botn de Mejora continua de la barra de botones vertical de la columna izquierda. 4.1.1 Crear acciones preventivas y de mejora En el men del rbol de secciones de la columna izquierda, aparece la opcin de crear acciones preventivas y de mejora. Haciendo clic sobre ella, se accede al formulario de insercin de acciones (Figura 8).

Figura 8. Crear nueva accin.

Versin 0.4

Manual de Usuario

Pgina 21 de 64

Este formulario solicita los siguientes datos: 1. Tipo de accin. Puede ser preventiva o de mejora. 2. Fecha. Da en que se notifica la accin. 3. Asunto. Breve descripcin de la accin. Es la que aparecer en los listados y los informes. 4. Accin. Descripcin detallada de la accin. 5. Responsable de implantacin. Persona registrada en el sistema (usuario) responsable de llevar a cabo dicha accin. 6. Plazo (das). Plazo estimado para llevar a cabo la accin. 7. Promotor de la accin. Persona registrada en el sistema (usuario) que ha planteado la accin. 8. Coste. Cantidad econmica estimada que supondr la implementacin de la accin.

Una vez rellenados los campos, el botn Aceptar, registrar la accin en el sistema. 4.1.2 Acciones de Mejora En el men del rbol de secciones de la columna izquierda, tambin est disponible la opcin de consulta de acciones de mejora. (ver punto 4.1.3).

Este listado, muestra todas las acciones de mejora registradas. Tambin permite introducir un identificador de accin para acceder directamente a la ficha de una accin. Por otro lado tambin permite, filtrar el listado por estados de las acciones, y por intervalos de fechas. As como ordenar por campos.

Desde este mismo listado, se ofrece la posibilidad de generar informes de listados, listos para imprimir o guardar. Haciendo clic sobre un registro del listado, se despliega la ficha de la accin, en la que se muestra toda su informacin (Figura 9).

Versin 0.4

Manual de Usuario

Pgina 22 de 64

Figura 9. Ficha de accin.

Desde el formulario de ficha de accin, es posible completar el control de eficacia (ver Figura 6), haciendo clic sobre el botn. Tambin se puede crear un informe de la misma desde el botn de crear informe. 4.1.3 Acciones Preventivas En el rbol de opciones, est la opcin de Acciones Preventivas, cuya funcionalidad es similar a la opcin de Acciones de mejora (ver punto 4.1.2).

Desde este punto, se puede acceder a todas las acciones preventivas registradas en el sistema. Haciendo clic sobre una de ellas se accede al formulario de ficha de la accin (Figura 9). Desde el cual, es posible realizar su control de eficacia y generar el informe correspondiente.

Versin 0.4

Manual de Usuario

Pgina 23 de 64

Captulo 5

5
5.1

Mdulo de Gestin Documental

Nuevo documento

En el gestor documental se almacena la documentacin generada en el proceso de implantacin del SGSI.

La entrada Nuevo Documento que se muestra en el rbol de la columna izquierda permite crear una nueva entrada para un documento en el gestor documental. Al seleccionar dicha entrada se accede al formulario en el cual se indica el grupo documental al que pertenece el nuevo documento (Figura 10). Si el documento nuevo es un anexo o est relacionado con otro documento se indica seleccionando el men despegable Relacionar con el grupo: (Figura 10). Esta opcin mostrar los documentos de dicho grupo y se podr elegir el documento con el cual est relacionado.

Figura 10: Nuevo documento, primer formulario

Versin 0.4

Manual de Usuario

Pgina 24 de 64

Una vez que esta informacin es conocida el siguiente paso es rellenar los datos para identificar el documento. En el segundo formulario (Figura 11) se solicitan al usuario los datos siguientes: 1. Nombre: el nombre del documento en el gestor documental. No es necesario que sea el mismo que el documento, pero es aconsejable. 2. Grupo documental: Grupo al que pertenece el documento. Este dato ha sido rellenado en el formulario anterior. 3. Cdigo: Cdigo de identificador nico para el documento. Se genera

automticamente una vez se guarde el documento. 4. Fecha de creacin. 5. Fecha de caducidad: No es necesario que todo documento tenga fecha de caducidad, por tanto este dato es optativo. 6. Estado: Estado en el que se encuentra el documento, al ser un nuevo documento por defecto se encontrar en estado borrador. 7. Autor: El autor del documento ser el usuario actual. 8. Versin: Versin en la que se encuentra el documento. 9. Archivo asociado: Este campo indica el archivo al que hace referencia el documento y es el que se va a guardar en la base de datos. 10. Relacionado con el documento: Este campo indica el documento al que hace referencia el nuevo documento, si se da el caso. 11. Comentario: Es una breve nota que va asociada al documento.

Ciertos documentos se crean a partir de plantillas. Si el botn Generar plantilla (Figura 11) est activado significa que este documento puede crearse a partir de una plantilla. Si todos los datos necesarios estn rellenados al seleccionar dicho botn, se podr generar un fichero con una estructura predeterminada para facilitar la creacin de nuevos documentos.

El botn Aadir Archivo (Figura 11) asociar el fichero que contiene la informacin al nuevo documento. Una vez asociado el fichero al documento se podr guardar este en la base de datos al activar el botn Guardar (Figura 11).

Si el documento est actualizado y almacenado en la base de datos, el usuario podr modificar el estado del documento a pendiente de revisin si lo considera oportuno. Al activar la opcin Solicitar Revisin (Figura 11) se requerir indicar un aprobador que

Versin 0.4

Manual de Usuario

Pgina 25 de 64

revise el documento. Mientras el aprobador no revise el documento, ste quedar bloqueado en el estado Pendiente de revisin y no podr ser modificado.

Figura 11: Nuevo documento segundo formulario

Si el perfil de usuario no tiene permisos de escritura en ningn grupo documental o es un perfil de aprobador, no podr crear ningn documento. 5.2 Biblioteca

5.2.1 Biblioteca documental En la biblioteca se encuentran los documentos del gestor documental y las distintas acciones que se pueden realizar sobre ellos. Al seleccionar esta opcin se mostrar un listado (Figura 12) de los distintos documentos a los cuales el usuario actual tiene, al menos, permiso de lectura. El botn Filtrar listado (Figura 12) permite aplicar un filtro a la lista de documentos para facilitar la bsqueda de un documento concreto. Tambin se puede usar la opcin de Buscar que insertando el cdigo de un documento mostrar la informacin de dicho documento en pantalla, permitiendo as una bsqueda an ms directa.

Versin 0.4

Manual de Usuario

Pgina 26 de 64

Figura 12: Listado de documentos

Una vez seleccionado el documento, ya sea usando la bsqueda o indicndolo en el listado, se mostrar una ficha con informacin sobre el documento (Figura 13). Los datos que se muestran en esta ficha dependen del nivel de acceso que posea el usuario al documento:

Si el usuario tiene privilegios de escritura sobre el documento se permite:

1. Consultar los datos del documento en la ficha. 2. Modificar el nombre y el comentario del documento, para ello slo hay que insertar los nuevos datos y tras ello activar el botn Guardar Cambios (Figura 13) para que estas modificaciones sean almacenadas. Si el documento est pendiente de aprobacin, no se podr modificar su nombre. 3. Descargar cualquier versin del documento que est almacenada en la base de datos. Esto se puede realizar seleccionando la versin deseada en el listado que aparece en la parte inferior de la ficha (Figura 13). As mismo se puede usar el botn Descargar si lo que se desea es guardar en su equipo local la versin vigente del documento. 4. Aadir nuevos ficheros al documento. Si se quiere revisar el documento el usuario podr aadir nuevas versiones de ste para, previa revisin por parte de un

Versin 0.4

Manual de Usuario

Pgina 27 de 64

aprobador, que puedan entrar en vigor. Slo puede existir un fichero borrador al mismo tiempo para un documento. 5. Eliminar el fichero borrador del documento. Siempre que el documento tenga un fichero en estado borrador, se podr borrar dicho fichero por el usuario que lo cre. Si este fichero es el nico que el documento posee, el documento tambin ser borrado. 6. Solicitar la revisin de un borrador. Si el documento tiene un fichero borrador, el usuario que ha escrito el documento podr solicitar la revisin de dicho borrador usando la opcin Solicitar Revisin. 7. Asignar y consultar usuarios de obligada lectura. En la pestaa de Obligada Lectura (Figura 14) se podrn asignar usuarios que deban leer el documento, as como consultar si los usuarios que deben leer el documento, lo han hecho o no. 8. Ver los documentos con los cuales est relacionado el documento actual. sto se muestra en forma de listado en la pestaa Documentos Relacionados (Figura 15).

Si el usuario tiene privilegios de lectura sobre el documento se permite:

1. Consultar los datos del documento en la ficha. 2. Descargar la versin vigente del documento, usando el botn Descargar siempre y cuando exista una versin vigente del documento.

Si el usuario tiene un perfil de aprobador se permite:

1. Consultar los datos del documento en la ficha. 2. Modificar el comentario del documento, para ello solo hay que insertar los nuevos datos y tras ello activar el botn Guardar Cambios (Figura 13) para que estas modificaciones sean almacenadas. 3. Descargar cualquier versin del documento que est almacenada en la base de datos. Esto se puede realizar seleccionando la versin deseada en el listado que aparece en la parte inferior de la ficha (Figura 13). As mismo se puede usar el botn Descargar si lo que se desea es guardar en su equipo local la versin vigente del documento. 4. Asignar y consultar usuarios de obligada lectura. En la pestaa de Obligada Lectura (Figura 14) se podrn asignar usuarios que deban leer el documento, as como consultar si los usuarios que deben leer el documento, lo han hecho o no.

Versin 0.4

Manual de Usuario

Pgina 28 de 64

5. Ver los documentos con los cuales est relacionado el documento actual. sto se muestra en forma de listado en la pestaa Documentos Relacionados (Figura 15). 6. Revisin. El aprobador puede revisar un documento en estado pendiente de revisin para analizarlo y posteriormente considerarlo apto pasndolo a estado aprobado, o descartarlo pasndolo a estado rechazado.

Figura 13: Ficha de documentos

Versin 0.4

Manual de Usuario

Pgina 29 de 64

Figura 14: Usuarios con obligada lectura

Figura 15: Documentos relacionados

Versin 0.4

Manual de Usuario

Pgina 30 de 64

5.2.2 Lectura obligada Al igual que en la biblioteca documental, en lectura obligada se muestra un listado de documentos, los cuales, el usuario actual tiene la obligacin de leer.

Al seleccionar un documento del listado se mostrar una ficha del documento similar a la que se muestra en biblioteca documental, pero se aade una casilla Confirmo la lectura del documento (Figura 16) que, una vez ledo el documento, el usuario debe marcar para indicarlo.

Figura 16: Confirmacin de lectura

Versin 0.4

Manual de Usuario

Pgina 31 de 64

Captulo 6

6
6.1

Mdulo de Anlisis de Riesgos

Configuracin

6.1.1 Dimensiones y criterios Esta ventana muestra informacin relativa al impacto que tiene la prdida del activo con respecto a las diferentes dimensiones de cada escenario del sistema. (Figura 17).

Desde esta ventana se pueden modificar los diferentes criterios de las dimensiones de integridad, confidencialidad o disponibilidad. Cada dimensin tiene un nmero de criterios fijos, pero la definicin de los criterios es modificable.

Figura 17: Dimensiones y criterios.

6.1.2 Escenarios La opcin de escenarios muestra un listado de escenarios definidos actualmente en el sistema. Desde esta ventana se pueden modificar los escenarios definidos, as como eliminarlos o definir nuevos escenarios (Figura 18).

Versin 0.4

Manual de Usuario

Pgina 32 de 64

Figura 18: Escenarios.

Cada escenario tiene definido una escala de valoracin con cinco posibles estados que pueden ser modificados tanto en nombre como en descripcin.

Figura 19: Escala valoracin.

6.1.3 Controles En este apartado se definen los puntos de la organizacin, en materia de seguridad, sobre los que se llevar el seguimiento. Permite establecer el estado inicial del control y el estado que se espera alcanzar al aplicar dicho control.

Versin 0.4

Manual de Usuario

Pgina 33 de 64

Figura 20: Modificacin de los datos del control.

6.1.4 Vulnerabilidades Desde esta ventana se muestra un listado con todas las vulnerabilidades definidas en el sistema.

Se pueden definir nuevas vulnerabilidades usando el botn Nueva Vulnerabilidad. Para definir una nueva vulnerabilidad solo es necesario un nombre y una descripcin de la misma.

Tambin se pueden modificar las vulnerabilidades ya existentes. Seleccionndolas del listado se mostrar una ventana (Figura 21) donde se podrn modificar los siguientes datos de la vulnerabilidad:

Nombre. Descripcin. Asociar Amenazas: Esta opcin permite aadir o quitar amenazas relacionadas con esa vulnerabilidad.

Versin 0.4

Manual de Usuario

Pgina 34 de 64

Figura 21: Modificar una vulnerabilidad.

6.1.5 Niveles de riesgo La opcin de niveles de riesgo (Figura 22) permite aadir, eliminar o modificar los niveles de riesgos definidos en el sistema. Cada nivel de riesgo viene definido por un nombre, una descripcin y un valor que ser el nmero mximo de riesgo que se encuentra en ese nivel.

El valor indica un intervalo desde el valor directamente inferior de otro nivel de riesgo hasta el valor indicado en el nivel actual.

Figura 22: Niveles de riesgo.

Versin 0.4

Manual de Usuario

Pgina 35 de 64

6.1.6 Probabilidad Pulsando sobre esta opcin es posible definir diferentes tipos de amenazas dependiendo de la probabilidad (Figura 23).

Figura 23: Probabilidad de amenazas.

6.2

Anlisis

Desde el submen Anlisis se controla la insercin y modificacin de datos previos al estudio del riesgo de cada activo. 6.2.1 Actividad y Proceso de negocio Esta seccin permite una nueva Actividad o un nuevo Proceso de Negocio que ser utilizado posteriormente en la creacin de un nuevo activo.

Esta opcin lista las actividades y los procesos de negocio que actualmente estn definidos en el sistema. Se pueden aadir nuevos procesos de negocio o actividades con la opcin Nueva actividad o proceso de negocio y se pueden modificar los actualmente definidos seleccionndolos desde el listado

Versin 0.4

Manual de Usuario

Pgina 36 de 64

Figura 24: Nueva Actividad / Nuevo Proceso de Negocio

Los datos de cada proceso de negocio son los siguientes: Nombre del proceso/actividad. Descripcin del proceso/actividad.

6.2.2 Activos En esta pestaa se muestra un listado de todos los activos que existen actualmente en el sistema (Figura 25).

Versin 0.4

Manual de Usuario

Pgina 37 de 64

Figura 25: Listado de activos

El botn nuevo muestra un formulario que sirve para aadir nuevos activos al sistema (Figura 26), mientras que si se pulsa en un activo de la tabla se mostrarn datos relativos a este por pantalla (Figura 27).

Figura 26: Nuevo activo

Al crear un nuevo activo sern necesarios los siguientes datos: Nombre: nombre del activo. Categora: categora a la que pertenece el activo. Puede ser una de las siguientes: Personas, Informacin, Software, Hardware o Entorno.

Versin 0.4

Manual de Usuario

Pgina 38 de 64

Descripcin: Informacin adicional relativa al activo. Ubicacin: situacin donde est emplazado el activo. Responsable: usuario responsable de la gestin del activo. Cargo del responsable: cargo que ocupa el responsable del activo. Actividad o Proceso: actividad o proceso de negocio que se realiza con el activo.

Figura 27: Datos del activo

6.2.2.1 Panel Datos Desde el panel de datos de un activo (Figura 27) se pueden modificar los campos relativos a este adems de otras opciones como aadirle procesos a los que pertenece el activo, activos dependientes de este y ver el impacto del activo para cada dimensin de cada escenario existente.

Los datos que se pueden modificar del activo son los mismos que se introducen al crear un nuevo activo. Adems se puede cambiar el propietario del.

6.2.2.2 Dependencias del activo Desde esta pestaa, dentro los datos del activo, se le pueden asignar un nmero de activos que dependen de l. Los activos que pueden ser dependientes del actual estn

Versin 0.4

Manual de Usuario

Pgina 39 de 64

limitados por la categora a la que pertenecen dichos activos con respecto al actual (Figura 28).

Figura 28: Activos dependientes.

6.2.2.3 Clculo del impacto del activo Esta opcin permite asignar el impacto que tendr la prdida del activo en el sistema. Al seleccionar un activo del listado de activos totales del sistema se mostrar una ventana (Figura 29) donde se deber indicar, dependiendo del escenario, como se considera la prdida del activo respecto a cada criterio de cada dimensin.

Versin 0.4

Manual de Usuario

Pgina 40 de 64

Figura 29: Valoracin del impacto.

6.2.3 Amenazas Al seleccionar la opcin Amenazas, se mostrar una nueva ventana donde se listan las amenazas existentes relacionadas con dicho activo (Figura 30).

Figura 30: Configurar Amenazas

Desde el men desplegable se pueden seleccionar las amenazas que tiene asignadas el activo actualmente. Para asignar ms amenazas las asignadas se debe usar el botn

Versin 0.4

Manual de Usuario

Pgina 41 de 64

Nueva Amenaza que mostrar una ventana emergente donde se puede aadir los datos de la nueva amenaza, su naturaleza y a qu dimensin afecta.

Para cada amenaza del activo se puede modificar la probabilidad con la que puede pasar desde el listado de amenazas (Figura 31).

Figura 31: Modificar amenazas

6.2.4 Test Inicial Con la realizacin del test inicial se comprueba el estado actual de la organizacin y de los recursos disponibles. Para ello se responde a todos los controles definidos anteriormente en la configuracin.

Se puede obtener una copia del estado inicial de la organizacin para imprimir pulsando en el botn Informe Test Inicial.

Versin 0.4

Manual de Usuario

Pgina 42 de 64

Figura 32: Test Inicial

6.2.5 Clculo del Riesgo Intrnseco El riesgo del activo ser el mximo los riesgos de cada una de sus amenazas. Si de l dependen activos de mayor riesgo, el activo heredar el riesgo que sea mayor.

Figura 33: Riesgo Intrnseco

6.2.5.1 Listado del Riesgo Intrnseco por activo Al pulsar sobre el botn Clculo del Riesgo Intrnseco situado en la parte inferiorderecha de la ventana, aparece una ventana emergente donde se muestra un listado de

Versin 0.4

Manual de Usuario

Pgina 43 de 64

todos los activos clasificados por categoras. Tambin se puede ver cmo estn afectadas cada una de las dimensiones del activo y la probabilidad del riesgo.

Figura 34: Listado del riesgo intrnseco de un activo

6.2.6 Clculo del Riesgo Efectivo Al seleccionar la opcin Clculo Riesgo Efectivo en el men situado en la parte izquierda, se obtiene un listado con el riesgo efectivo de cada amenaza. Este clculo se realiza con los datos introducidos en pasos anteriores.

Figura 35: Modificar probabilidad efectiva

Versin 0.4

Manual de Usuario

Pgina 44 de 64

6.2.6.1 Riesgo Efectivo por dominio Al pulsar sobre el botn R. Efectivo por dominio se obtiene una ventana donde est clasificado el riesgo de cada amenaza por el dominio correspondiente.

Figura 36: Riesgo Efectivo por Dominio

6.2.6.2 Riesgo Efectivo por Activo Al pulsar sobre el botn R. Efectivo se obtiene una ventana donde est clasificado el riesgo de cada amenaza por el activo.

Figura 37: Riesgo Intrnseco por Activo

Versin 0.4

Manual de Usuario

Pgina 45 de 64

6.2.7 SOA SoA (Statement of Aplicability) identifica a los controles aplicados por el SGSI de la organizacin, detallando porqu son apropiados esos controles.

Figura 38: Justificacin del Control.

6.2.8 Plan de Accin Dentro del Plan de Accin se indicar el estado que se pretende alcanzar y las acciones que se realizan para cumplir con los objetivos de cada uno de los controles previamente establecidos (Figura 39).

Versin 0.4

Manual de Usuario

Pgina 46 de 64

Figura 39: Listado de controles en el Plan de Accin

Figura 40: Control del estado y la justificacin del control

6.2.9 Clculo del Riesgo Residual De uso similar al riesgo intrnseco, se utiliza la nueva probabilidad de la amenaza y el nuevo impacto del activo generado de aplicar los controles.

Versin 0.4

Manual de Usuario

Pgina 47 de 64

Se compara su riesgo residual con la tabla de nivel de riesgo. Los activos que sobrepasen los niveles de riesgos aceptables se marcarn en rojo y se avisar para que replantee su Plan de Tratamiento de Riesgo.

Figura 41: Clculo del Riesgo Residual

Versin 0.4

Manual de Usuario

Pgina 48 de 64

Parte II

Programa de Administracin

Versin 0.4

Manual de Usuario

Pgina 49 de 64

Captulo 7

7
7.1

Entorno de Programa de Administracin.

Conexin con el sistema. Programa de Administracin

El programa de administracin es el entorno que permite crear, configurar y gestionar el sistema SGSI. Tambin es el encargado de gestionar todos los usuarios del sistema, sus perfiles de privilegios de acceso a cada mdulo y sus funcionalidades.

Para iniciar una sesin de administracin hay que autentificarse como administrador de sistema, que es el nico usuario con privilegios suficientes para acceder al programa. Desde el punto de vista del servidor de base de datos es un usuario con privilegio de administracin. 7.2 Crear nuevo SGSI

Desde el programa administracin se puede gestionar todas las operaciones relativas a crear, modificar o eliminar SGSI.

Para crear un nuevo SGSI slo hay que seleccionar la opcin Nuevo en el men SGSI de la barra de opciones. Tras autentificarse en el sistema como administrador, el programa solicita un nombre y una breve descripcin para el SGSI que se est creando (Figura 42).

El nombre del SGSI slo puede contener caracteres alfanumricos sin incluir tildes ni la letra . Esto es una medida de seguridad para evitar conflictos con el servidor de base de datos.

Versin 0.4

Manual de Usuario

Pgina 50 de 64

Figura 42: Crear nuevo SGSI

Una vez creado el SGSI se mostrar informacin del proceso realizado en la ventana de descripcin. 7.3 Eliminar un SGSI existente

Si se desea eliminar un SGSI del sistema, basta con seleccionar la opcin Eliminar en el men SGSI de la barra de opciones. Previa autentificacin en el sistema, se muestra un listado de los SGSI existentes y para llevar a cabo la eliminacin basta con seleccionar el SGSI deseado y pulsar el botn Eliminar. Hay que tener en cuenta que esta accin no tiene vuelta atrs y una vez eliminado un SGSI no se podr recuperar.

Versin 0.4

Manual de Usuario

Pgina 51 de 64

Figura 43: Eliminar SGSI

Para poder eliminar un SGSI hay que asegurarse que no hay ninguna sesin de usuario o administracin abierta, en tal caso, no ser posible llevar a cabo la accin. 7.4 Modificar un SGSI existente

Seleccionando la opcin Cargar en el men SGSI de la barra de opciones se podr acceder a un SGSI ya existente en el sistema. Para llevar a cabo esta accin tambin es necesaria la autentificacin como administrador.

Una vez cargado el SGSI deseado se podr acceder a la modificacin de las opciones dentro de cada mdulo, este proceso se muestra detalladamente ms adelante. 7.5 Usuarios de un SGSI

Una vez cargado un SGSI, se pueden modificar los usuarios existentes, crear nuevos o desactivarlos si as se desea.

Para ello hay que seleccionar la opcin Gestin de usuarios en el men Usuarios de la barra de opciones. Esto muestra un listado de los usuarios actuales del sistema. Tras acceder, haciendo clic en un usuario determinado se mostrarn los datos de ste (Figura 44) y se permite modificar dichos datos.

Versin 0.4

Manual de Usuario

Pgina 52 de 64

Para crear un usuario nuevo basta con pulsar el botn Nuevo en el listado de usuarios y se abrir una ventana de dilogo similar a la que muestra los datos del usuario. (Figura 44)

Figura 44: Usuarios del SGSI

Los datos que se muestran en dicha ventana son los siguientes:

1. Nombre y apellidos del usuario. 2. Nombre del usuario. Es el nombre o login del usuario dentro del sistema. 3. eMail. Debe de tener un formato de correo electrnico vlido. 4. Telfono del usuario. (opcional) 5. Fecha de caducidad de la cuenta. (opcional) 6. Comentario. (opcional) 7. Usuario activo. Indica si al usuario le est permitido acceder al sistema actualmente. 8. Contrasea: Se debe introducir dos veces para validar que no hay ningn error. 7.6 Apartados de la norma

Este punto muestra un listado con los apartados de la norma ISO 27001. Estos apartados pueden ser modificados, e incluso se permite aadir nuevos, en caso de ser necesario. (Figura 45)

Versin 0.4

Manual de Usuario

Pgina 53 de 64

Figura 45: Apartados de la norma

Versin 0.4

Manual de Usuario

Pgina 54 de 64

Captulo 8

8
8.1

Administracin del Mdulo de Gestin de Incidencias

Perfiles de usuario

Cada usuario del sistema debe tener asignado un perfil en el gestor de incidencias. Para asignar un perfil slo hay que seleccionar el usuario deseado y utilizando los botones de asignacin se le incluir en el perfil previamente seleccionado en la pestaa desplegable situada en la esquina superior derecha. (Figura 46).

Los perfiles que pueden adoptar los usuarios son de tres tipos:

1. Usuario genrico. Este usuario puede crear o consultar incidencias. 2. Responsable del sistema. Usuario genrico que adems puede eliminar o clasificar las incidencias como tcnicas o como no conformidad. 3. Responsable tcnico. Usuario genrico que, adems de lo anterior, realiza las acciones correctivas necesarias para resolver una incidencia o una no conformidad de forma satisfactoria. 4.

Figura 46: Perfiles de usuarios del gestor de incidencias

Versin 0.4

Manual de Usuario

Pgina 55 de 64

Se permite, tambin, eliminar de un perfil a un usuario. Para ello se debe seguir el mismo proceso descrito, pero a la inversa. 8.2 Prioridades de incidencia

Cada incidencia tiene una prioridad que determina la necesidad de ser resuelta. Haciendo clic en Prioridades de incidencia en el rbol izquierdo se mostrar un listado (Figura 47) con las distintas prioridades existentes en el sistema. Haciendo clic en cada prioridad se podrn modificar el nombre o la descripcin de la misma y haciendo clic en el botn de Nuevo se podrn aadir nuevas prioridades al sistema.

Figura 47: Prioridades de las incidencias

8.3

Tipos de incidencias

Los tipos de incidencias sirven para agrupar las incidencias segn su naturaleza. Al igual que con las prioridades se pueden modificar los tipos existentes que se muestran en el listado o crear nuevos tipos usando el botn Nuevo.

Versin 0.4

Manual de Usuario

Pgina 56 de 64

Captulo 9

9
9.1

Administracin del Mdulo de Gestin Documental

Perfiles de usuario

Para poder acceder al gestor documental, todo usuario del sistema debe de tener asignado un perfil. Los perfiles consisten en grupos de usuarios que comparten unos privilegios genricos de acceso a los documentos del sistema. Por defecto hay dos grupos de usuarios: el escritor, que tiene acceso de escritura y lectura a todos los grupos documentales, y el lector que tiene acceso de lectura a todos los grupos documentales.

Desde la opcin Perfiles de usuario (Figura 48) del rbol izquierdo se puede asignar un grupo de usuarios a los usuarios que no pertenezcan a ninguno, o sacar de un grupo a un usuario si se desea.

Se debe tener en cuenta que el perfil de aprobador es un grupo especial de usuarios y no se trata de la misma manera que el resto de grupos. De este perfil especial se hablar ms adelante.

Figura 48: Perfiles de usuario en el gestor documental.

Versin 0.4

Manual de Usuario

Pgina 57 de 64

9.2

Grupos de Usuarios

Desde esta opcin se puede controlar la creacin de nuevos grupos y eliminacin de los ya existentes. Al seleccionar Grupos de usuarios (Figura 49) se muestra un listado de los grupos ya existentes que pueden ser modificados, para ello al seleccionarlos en el listado se despliega una ventana con informacin concerniente al grupo (Figura 50).

Desde dicha ventana se puede modificar tanto el nombre como la descripcin del grupo en cualquier momento, pero para poder eliminar dicho grupo, ste no debe contener ningn usuario.

Figura 49: Listado de grupos de usuarios.

El panel de Grupos de Usuarios tambin nos ofrece la posibilidad de crear grupos usando el botn Nuevo Grupo (Figura 49). Para ello slo hay que insertar el nombre del grupo y una breve descripcin del mismo. La opcin Asignar Usuarios (Figura 49) tiene la misma funcionalidad que el men Perfiles de usuario visto en el punto anterior.

Versin 0.4

Manual de Usuario

Pgina 58 de 64

Figura 50: Informacin sobre el grupo de usuarios.

9.3

Grupos de documentos

Los documentos del gestor documental estn agrupados de tal manera que cada documento pertenece a un nico grupo de documentos. La entrada Grupos de documentos del rbol izquierdo nos muestra un listado de todos grupos que actualmente existen en el sistema. Para crear un grupo hay que seleccionar la opcin Nuevo Grupo (Figura 51). Se pedirn los siguientes datos:

1. Nombre con el cual se va a identificar el grupo. 2. Cdigo. El cdigo sirve para asignar un identificador a los documentos del grupo que lo relacione con el grupo al que pertenecen. Este cdigo suele ser una combinacin de unas pocas letras maysculas, entre dos o tres, aunque acepta ms. 3. Breve descripcin del grupo de documentos. 4. Asociar a otros grupos. Esta opcin indica que los documentos del grupo que est siendo creado son anexos o estn relacionados con los documentos de uno o varios de los grupos asociados al nuevo. Si no se indica aqu esta relacin, no se permitir relacionar un documento con otro en el momento de su creacin.

Versin 0.4

Manual de Usuario

Pgina 59 de 64

Figura 51: Listado de grupos de documentos.

Para modificar los grupos ya existentes hay que seleccionar el grupo en el listado de Grupos de documentos (Figura 51) y se mostrar una ventana similar a la de nuevo grupo (Figura 50). A un grupo ya existente se le puede modificar tanto el nombre como la descripcin en cualquier momento. El cdigo se puede modificar siempre y cuando el grupo no contenga documentos.

Figura 52: Modificar grupo documental.

Versin 0.4

Manual de Usuario

Pgina 60 de 64

Tambin se le pueden aadir nuevos grupos relacionados y quitar otros ya existentes siempre y cuando se tengan en cuenta los cdigos de los documentos ya existentes para no crear incongruencias.

Al seleccionar un grupo documental se muestra un listado de los documentos que pertenecen a dicho grupo en la parte inferior de la ventana (Figura 52) y al hacer clic en uno de esos documentos se muestra una ventana con informacin de ste. Desde esta ventana se puede eliminar el documento o marcarlo como no vlido, lo que significa no borrar el documento fsicamente pero el programa cliente lo tratar como si no estuviese en el sistema.

Si se quiere borrar un grupo documental antes hay que asegurarse de que dicho grupo no contenga documentos pues de otra manera no se podr llevar a cabo la eliminacin. 9.4 Aprobadores

Como ya se ha comentado en el punto Perfiles de usuario, para que un usuario pueda acceder al gestor documental debe tener asignado un perfil en forma de grupo de usuarios. Un caso especial de perfiles es el de aprobadores.

El perfil de aprobador tiene acceso a todos los documentos de una forma especial, pueden leer todos los documentos y tienen la tarea de analizarlos y aprobarlos o rechazarlos. Una vez que a un usuario se le ha asignado el perfil de aprobador, si este usuario ya ha aprobado documentos, no se podr cambiar de perfil. Para asignar a un usuario el perfil de aprobador debe hacerse desde la opcin Aprobadores del rbol izquierdo del programa administrador. El interfaz es similar al de Perfiles de usuario. 9.5 Privilegios

Para controlar el acceso a los documentos hay que asignar privilegios a cada usuario. Los privilegios se pueden asignar a nivel de usuario o a nivel de grupo de usuario. 9.5.1 Privilegios sobre los grupos de documentos

Al hacer clic en esta opcin se mostrar un listado de los distintos grupos documentales que hay actualmente en el sistema. Si hacemos clic en alguno de los grupos, se mostrar una ventana (Figura 53) con los distintos grupos de usuarios y los privilegios de lectura o escritura que actualmente posee frente a dicho grupo documental.

Versin 0.4

Manual de Usuario

Pgina 61 de 64

Si se desea modificar estos privilegios se debe hacer clic en la casilla correspondiente para activarlos o desactivarlos. Hay que tener en cuenta que para tener privilegio de escritura debe de tener tambin privilegio de lectura.

Figura 53: Privilegios para un grupo documental.

9.5.2

Privilegios sobre los documentos

Al hacer clic en esta opcin se mostrar un listado de los distintos documentos que hay actualmente en el sistema. Si hacemos clic en alguno de los documentos se mostrar una ventana (Figura 54) con los distintos usuarios y los privilegios de lectura o escritura que actualmente posee frente a dicho grupo documental. Si se desea modificar estos privilegios hay que hacer clic en la casilla correspondiente para activarlos o desactivarlos. Hay que tener en cuenta que para tener privilegio de lectura debe de tener tambin privilegio de escritura.

Versin 0.4

Manual de Usuario

Pgina 62 de 64

Figura 54: Privilegios para un documento.

La opcin de denegar acceso implica que dicho usuario no podr acceder a ese documento aunque tenga acceso a nivel de grupo. Por ltimo, si ninguna de las opciones est sealada se entiende que los privilegios no estn definidos a nivel de usuario ("sin definir explcitamente").

Para comprender mejor el uso de privilegios para restringir el acceso a los documentos se adjunta la siguiente tabla:

Usuario

Grupo de usuarios

Grupo documental

Documento

Lectura No No No Si Si

Escritura No No No No Si

Lectura No Si Si No No

Escritura No No Si No No Sin acceso Sin acceso

Sin acceso a usuario Sin acceso a usuario Sin acceso a usuario Sin acceso a usuario lectura usuario lectura/escritura usuario lectura usuario lectura/escritura usuario

X X

X X

Si Si

No Si

lectura usuario lectura/escritura usuario

lectura usuario lectura/escritura usuario

X=Sin definir explcitamente

Versin 0.4

Manual de Usuario

Pgina 63 de 64

Captulo 10

10 Administracin del Mdulo de Anlisis de Riesgos

Para que un usuario tenga acceso al mdulo de anlisis de riesgos debe drsele privilegios para ello desde el programa de administracin. Para ello seleccionar el usuario al que se le quiera aadir privilegios y pulsar en el botn de Asignar o en el botn de Quitar si lo que se quiere es restringirle el acceso a un usuario que ya lo tena.

Figura 55: Responsables del anlisis de riesgos

Versin 0.4

Manual de Usuario

Pgina 64 de 64

DOCUMENTO REALIZADO POR:

Francisco Manuel Garca Claramonte: francisco.garcia@ceslcam.com Gustavo Prados Snchez: gprados@idn.es

REVISADO POR:

Carmen Alberca Jaquero: calberca@idn.es