Professional Documents
Culture Documents
http://www.securia.es/ http://www.ceeisec.com/
Este documento se distribuye bajo los trminos de la licencia Creative Commons 2.5. (Ms informacin en http://creativecommons.org/licenses/by-sa/2.5/es/)
Pgina 1 de 64
Versin 0.4
Manual de Usuario
Pgina 2 de 64
Contenido 1 1.1 1.2 1.3 2 2.1 3 3.1 3.2 INTRODUCCIN .......................................................................................... 4 Descripcin............................................................................................... 4 Requerimientos ......................................................................................... 5 Instalacin. Puesta en funcionamiento. ........................................................ 5 Entorno de programa cliente ....................................................................... 8 Conexin con el sistema. Programa cliente. .................................................. 8 Mdulo de Gestin de Incidencias y No Conformidades ............................ 11 Roles de usuario ......................................................................................11 Incidencias ..............................................................................................11 Nueva incidencia ................................................................................11 Listado de notificaciones. Incidencias nuevas. ........................................13 Listado de incidencias tcnicas .............................................................13 Crear acciones correctivas para incidencias tcnicas ...............................14 Control de eficacia de las acciones correctivas .......................................15 Creacin de informes. Incidencias y listados ..........................................16
No conformidades ....................................................................................16 Crear notificaciones de No Conformidades .............................................16 Listado de No Conformidades...............................................................18 Crear acciones correctivas para No conformidades .................................18 Control de eficacia de las acciones correctivas .......................................19 Creacin de informes. No Conformidades y listados ................................19
Mdulo de Mejora Continua ....................................................................... 20 Acciones preventivas y de mejora ..............................................................20 Crear acciones preventivas y de mejora ................................................20 Acciones de Mejora.............................................................................21 Acciones Preventivas ..........................................................................22
Mdulo de Gestin Documental ................................................................. 23 Nuevo documento ....................................................................................23 Biblioteca ................................................................................................25 Biblioteca documental .........................................................................25 Lectura obligada ................................................................................30
Mdulo de Anlisis de Riesgos .................................................................. 31 Configuracin ..........................................................................................31 Dimensiones y criterios .......................................................................31 Escenarios .........................................................................................31 Controles ..........................................................................................32
Versin 0.4
Manual de Usuario
Pgina 3 de 64
Anlisis ...................................................................................................35 Actividad y Proceso de negocio ............................................................35 Activos..............................................................................................36 Amenazas .........................................................................................40 Test Inicial ........................................................................................41 Clculo del Riesgo Intrnseco ...............................................................42 Clculo del Riesgo Efectivo ..................................................................43 SOA .................................................................................................45 Plan de Accin ...................................................................................45 Clculo del Riesgo Residual .................................................................46
6.2.1 6.2.2 6.2.3 6.2.4 6.2.5 6.2.6 6.2.7 6.2.8 6.2.9 7 7.1 7.2 7.3 7.4 7.5 7.6 8 8.1 8.2 8.3 9 9.1 9.2 9.3 9.4 9.5
Entorno de Programa de Administracin. .................................................. 49 Conexin con el sistema. Programa de Administracin ..................................49 Crear nuevo SGSI ....................................................................................49 Eliminar un SGSI existente ........................................................................50 Modificar un SGSI existente .......................................................................51 Usuarios de un SGSI .................................................................................51 Apartados de la norma ..............................................................................52 Administracin del Mdulo de Gestin de Incidencias ............................... 54 Perfiles de usuario ....................................................................................54 Prioridades de incidencia ...........................................................................55 Tipos de incidencias ..................................................................................55 Administracin del Mdulo de Gestin Documental ................................... 56 Perfiles de usuario ....................................................................................56 Grupos de Usuarios ..................................................................................57 Grupos de documentos .............................................................................58 Aprobadores ............................................................................................60 Privilegios................................................................................................60 Privilegios sobre los grupos de documentos ...........................................60 Privilegios sobre los documentos ..........................................................61
9.5.1 9.5.2 10
Versin 0.4
Manual de Usuario
Pgina 4 de 64
1 INTRODUCCIN
La aplicacin SecuriaSGSI cubre de forma automtica el proceso de implantacin, puesta en funcionamiento, control y mejora de un Sistema de Gestin de Seguridad de la Informacin (SGSI).
El paquete de instalacin para sistemas GNU/Linux y Windows, est accesible desde los sitios web:
http://www.securia.es/ http://www.ceeisec.com/
SecuriaSGSI est formado por una aplicacin de administracin en la que se configuran todos los parmetros necesarios para implantar y mantener un SGSI. Tambin se aaden los usuarios que intervienen en el sistema y sus respectivos roles de usuario. Este programa de administracin conecta contra una base de datos en la que se almacena toda la informacin relativa al sistema.
Por otro lado, SecuriaSGSI incluye un programa cliente a travs del cual permitir a cada usuario acceder al sistema y poder realizar las funciones necesarias en funcin de su perfil de usuario en el sistema.
Este manual
cubre el
cliente y el
programa de
administracin de SecuriaSGSI.
1.1
Descripcin
El programa cliente de SecuriaSGSI tiene como funcin principal conectar al usuario al SGSI, validando previamente la identidad de ste, y otorgando los privilegios de acceso correspondientes previamente establecidos. Una vez conectado, el programa proporciona toda la funcionalidad necesaria para interactuar con los mdulos presentes en el SGSI.
El programa de administracin es el encargado de configurar los mdulos que componen el sistema, as como los usuarios con acceso al mismo, y sus privilegios de acceso.
Versin 0.4
Manual de Usuario
Pgina 5 de 64
1. Mdulo de Gestin de Incidencias. 2. Mdulo de Mejora Continua. 3. Mdulo de Gestin Documental. 4. Anlisis y Gestin de Riesgos.
1.2
Requerimientos
Para garantizar el correcto funcionamiento de SecuriaSGSI, el equipo donde vaya a instalarse, necesita tener instalado previamente los siguientes paquetes software:
La base de datos PostgreSQL slo ser necesaria tenerla instalada en un equipo servidor que dar servicio al resto.
1.3
Para instalar la aplicacin es suficiente con ejecutar el paquete de instalacin, que contiene la aplicacin (SECURIASGSI-x.y.x), en un directorio del equipo local con privilegios para ello.
Una vez desempaquetado el programa1, es necesario crear la base de datos principal de la aplicacin. Para ello, hay que acceder al directorio llamado instalar, situado en la ruta de instalacin seleccionada, y lanzar el script siguiente:
Versin 0.4
Manual de Usuario
Pgina 6 de 64
Previamente es necesario haber establecido las variables del script, comando, host, puerto, bdd (Base de datos) y usuario, con los valores correctos del sistema.
Para lanzar las aplicaciones de administrador y cliente, bastar con lanzar uno de los siguientes comandos, dependiendo del sistema operativo sobre el que se ejecute:
1. GNU/Linux. Desde el directorio bin, ejecutando: SECURIASGSI_Cliente.sh para el programa cliente. SECURIASGSI_Administracion.sh para el programa de administracin. O bien, lanzando las aplicaciones desde el men SECURIASGSI de Gnome o Kde.
2. MS Windows. Ejecutar las aplicaciones desde el men inicio, seccin programas, en el grupo de aplicaciones establecido en la instalacin.
Versin 0.4
Manual de Usuario
Pgina 7 de 64
Parte I
Programa cliente
Versin 0.4
Manual de Usuario
Pgina 8 de 64
Captulo 2
2
2.1
La conexin con el sistema se realiza a travs del formulario de conexin (Figura 1). Al iniciar el sistema se accede directamente a dicho formulario; tambin ser accesible desde la barra de botones y desde el men principal de la aplicacin cliente.
Para establecer la conexin con el SGSI el programa solicita la siguiente informacin: 1. Datos de Servidor. (a) Servidor. Datos del servidor de base de datos contra el cual se realiza la
sesin de usuario. Admite una URI completa, una direccin IP o nombre de mquina. (b) Puerto. Puerto en el que escucha el servidor.
(c) SGSI. Nombre del sistema SGSI almacenado en el servidor. 2. Datos de usuario. (a) Usuario. Nombre del usuario con el que se desea identificar en el servidor.
Este usuario se crea desde el programa administracin. (b) Contrasea. Clave de acceso correspondiente al usuario para el servidor y
SGSI al que se quiere conectar. 3. El desplegable Sesin. (a) La caja desplegable de sesin permite guardar los datos de conexin
para evitar tener que volver a teclear los mismos datos en posteriores accesos. Para ello es necesario activar la casilla de guardar datos de sesin.
Versin 0.4
Manual de Usuario
Pgina 9 de 64
Una vez que el usuario se identifica con una cuenta de usuario vlida en el servidor de base de datos, el sistema carga la ventana principal del programa cliente. Desde la cual, ser posible acceder a todas las funcionalidades de la aplicacin.
El sistema est organizado en diversos mdulos agrupados por su funcionalidad. El entorno de la aplicacin es el que se muestra a continuacin en la Figura 2, en su modo inicial previo a realizar la conexin.
Versin 0.4
Manual de Usuario
Pgina 10 de 64
Una vez realizada la conexin con xito contra el servidor, ste identifica al usuario, y el programa cliente le concede los privilegios que correspondan, posibilitando su acceso a los recursos y funcionalidades establecidos previamente por el responsable del SGSI (nico usuario con acceso total al servidor de base de datos).
El entorno habilitar aquellos accesos, mens, etc. Para los que el usuario tenga privilegios, como se muestra en la Figura 3.
Versin 0.4
Manual de Usuario
Pgina 11 de 64
Captulo 3
El mdulo de gestin de incidencias cubre todos los requerimientos de la norma ISO 27001 en cuanto a gestin y tratamiento de incidencias y no conformidades.
Del mismo modo el programa genera informes de incidencias y no conformidades. La forma de acceder a este mdulo es haciendo clic sobre el botn de Gestin de incidencias de la barra de botones vertical de la columna izquierda. 3.1 Roles de usuario
En el mdulo de gestin de incidencias los usuarios se clasifican bajo tres roles o perfiles de usuario.
Usuario de sistema. Es el perfil normal para todas las personas que integran el sistema. Sus privilegios son los de poder registrar incidencias en el sistema, y consultar las incidencias existentes con toda su informacin, acciones correctivas, etc. Responsable tcnico. Los usuarios con este perfil, adems de poder realizar las mismas tareas que los usuarios, son los responsables de realizar las acciones correctivas sobre las incidencias, y establecer el control de eficacia. Responsable del sistema. Slo est permitido que haya un nico responsable del sistema; el usuario con este perfil tiene acceso a toda la informacin contenida en el gestor de incidencias. Es el encargado de decidir si una notificacin de incidencia es realmente una incidencia tcnica o una no conformidad. Tambin se encarga de gestionar las no conformidades, asignar incidencias a cualquier usuario, as como decidir en qu momento cerrar las incidencias y las no conformidades. 3.2 Incidencias
3.2.1 Nueva incidencia Todos aquellos eventos capaces de comprometer la seguridad de la informacin, deben ser registrados en el sistema como incidencias y deben aplicarse sobre ellos las acciones correctivas necesarias.
Versin 0.4
Manual de Usuario
Pgina 12 de 64
En el rbol de secciones de la columna izquierda aparece la opcin llamada incidencias, a travs de la cual se accede al formulario de alta de incidencias, Figura 4. En ste se solicita al usuario una serie de datos necesarios para el registro, como son:
Notificador (por defecto toma el usuario que est creando la notificacin de la incidencia). Fecha de la incidencia. Estado de la incidencia. Inicialmente el estado es nueva, hasta que sea revisada por el responsable del sistema y decida si se trata de una incidencia tcnica o de una no conformidad. Prioridad. En funcin de la importancia o urgencia de la incidencia debe establecerse una prioridad en funcin de la cual ser atendida. Tipo. Es necesario clasificar las incidencias en base a unos tipos definidos previamente en el SGSI. Descripcin. El notificador de la incidencia debe ofrecer algunos detalles
descriptivos sobre el evento. Causa. Este campo indica la/s posible/s causa/s que han producido la incidencia. Deber ser rellenado por el responsable tcnico que se encargue de aplicar las correspondientes acciones.
Versin 0.4
Manual de Usuario
Pgina 13 de 64
3.2.2 Listado de notificaciones. Incidencias nuevas. Las nuevas notificaciones de incidencias aparecen en el listado correspondiente a la opcin Nuevas incidencias de seguridad del rbol de secciones. En este listado aparecen las incidencias registradas en el sistema y que todava el responsable del sistema no ha clasificado como incidencia tcnica o como no conformidad.
Haciendo click sobre uno de los registros del listado, se abre el formulario de consulta mostrando toda la informacin asociada a la incidencia, formulario de la Figura 4.
Si es el responsable de sistema quin accede a la notificacin, adems de los campos descritos, ver dos cajas de seleccin a travs de las cuales podr:
1. Clasificar como, clasificar la notificacin como incidencia tcnica o como no conformidad. 2. Asignar a, en caso de que se clasifique como incidencia tcnica el programa ofrece la posibilidad de asignar un responsable de la incidencia, que deber realizar acciones correctivas posteriormente.
nicamente el responsable de sistema es capaz de realizar estas acciones. 3.2.3 Listado de incidencias tcnicas Desde el rbol de secciones de la columna izquierda, dentro de la seccin de incidencias, se accede a la opcin de Incidencias Tcnicas. En este listado se muestran las incidencias tcnicas registradas en el sistema, haciendo clic sobre una de ellas se abre el formulario de consulta mostrando todos los datos de la incidencia junto al listado de acciones correctivas aplicadas a sta. Figura 5.
1. Aadir nuevas acciones correctivas: Tanto el responsable de sistema, como los responsables tcnicos, tienen acceso a esta funcionalidad. (ver punto 3.2.4). 2. Crear informe: Tanto el responsable de sistema, como los responsables tcnicos, pueden generar informes de incidencias con todos sus datos para imprimir, o guardar en un archivo.
Versin 0.4
Manual de Usuario
Pgina 14 de 64
3. Modificar causa: Tanto el responsable de sistema, como los responsables tcnicos, pueden modificar la causa que produjo la incidencia. 4. Cambiar estado: nicamente el responsable de sistema, puede modificar
manualmente el estado de la incidencia. En este caso los posibles estados hacia los que se puede pasar una incidencia son: (a) (b) Cerrada. En este punto puede cerrar la incidencia. No conformidad. Si lo considera necesario, se puede generar una nueva no
conformidad a partir de la incidencia. (c) Incidencia tcnica. Si la incidencia tiene asociadas acciones correctivas, se encuentra en estado de pendiente de implantacin, si estas acciones han sido implantadas y tienen realizado el control de eficacia, pasan a estado de pendiente de revisin por el responsable de sistema, que decidir cul de estos estados (a,b,c) corresponde a la incidencia. 3.2.4 Crear acciones correctivas para incidencias tcnicas Los responsables tcnicos y el responsable de sistema son los perfiles con privilegios para crear acciones correctivas asociadas a las incidencias tcnicas.
Desde la ventana de detalle de incidencia, se accede al formulario de crear acciones correctivas para la incidencia actual haciendo clic en el botn de nueva accin correctiva.
Desde el formulario (Figura 5), se pedir al usuario que introduzca la siguiente informacin relativa a la accin:
1. Id Accin. Es el identificador nico de accin. Este campo obtiene su valor automticamente desde el programa. 2. Fecha. Fecha en la que se establece la accin. 3. Accin. Descripcin de la/s tarea/s que componen la accin. 4. Plazo (das). Nmero de das estimado para llevar a cabo la accin. 5. Coste (Euros). Coste econmico asociado a la implantacin de la accin. 6. Responsable de implantacin. Usuario al que se le notificar la responsabilidad de implantacin de la accin. El programa abrir el cliente de correo por defecto para que el usuario enve la notificacin.
Versin 0.4
Manual de Usuario
Pgina 15 de 64
3.2.5 Control de eficacia de las acciones correctivas A cada accin correctiva que se implanta hay que efectuar un control de eficacia, que ms tarde ser necesario para valorar si se cierra o no una incidencia.
Para ello hay que acceder al formulario de control de eficacia desde la ventana de acciones correctivas (Figura 5) el botn de Control de eficacia.
1. Fecha. El da en que se realiza el control. 2. Responsable del control. Persona identificada en el sistema responsable de realizar el control. 3. Mtodo de control y plazo. Descripcin del mtodo y el plazo empleado para definir la eficacia de la accin. 4. Mtodo de control realizado. Casilla de verificacin para confirmar si
efectivamente se ha llevado a cabo la accin correctiva. 5. Ha sido revisada. Casilla de verificacin para confirmar que el responsable de sistema ha revisado la eficacia de la accin. Esta casilla debe activarla, si corresponde, slo el responsable de sistema. 6. Ha sido eficaz. Casilla de verificacin para confirmar si ha sido eficaz la accin correctiva. En caso de que no lo haya sido se activa automticamente la caja de texto inferior para indicar los motivos por los cuales no ha sido eficaz.
Versin 0.4
Manual de Usuario
Pgina 16 de 64
3.2.6 Creacin de informes. Incidencias y listados Es posible crear informes de las incidencias, tanto en formato de listado de incidencias como en formato de detalle de una incidencia en particular, adjuntando toda su informacin y su/s accin/es correctiva/s. Para generar informes en forma de listado, basta pulsar el botn de Mostrar informe desde cualquiera de los listados de incidencias tcnicas e incidencias nuevas. Para generar informes de detalle de incidencias en formato de detalle, hay que pulsar el botn de Mostrar informe desde la ventana de detalle de incidencia, una vez seleccionada desde un listado. 3.3 No conformidades
Las incidencias que representan No Conformidades se pueden introducir en el sistema de dos formas.
Por un lado, a travs del formulario de nueva No Conformidad accesible desde el men del rbol de secciones de la columna izquierda, Figura 7. En este formulario se solicita al usuario la siguiente informacin:
Versin 0.4
Manual de Usuario
Pgina 17 de 64
1. Apartado de la norma; Hay que indicar qu apartado de la norma es el que se ha visto afectado. 2. Fecha; da en el que se detecta o notifica la No conformidad. 3. Asunto; Breve resumen para identificar la notificacin. 4. Descripcin; Conformidad. 5. Causa; Motivos que han producido la No Conformidad. Campo para resumir detalladamente los detalles de la No
Por otro lado, una No Conformidad, puede provenir de una incidencia tcnica previamente notificada por alguno de los usuarios del sistema. En este caso, es el responsable de sistema quin tiene que decidir si una notificacin de incidencia se gestiona como incidencia tcnica o como No Conformidad (ver punto 3.2.2).
Las No Conformidades slo pueden ser notificadas y gestionadas por el responsable de sistema. Para la resolucin de stas, ser necesario aplicar acciones correctivas, que s podrn ser asignadas a responsables tcnicos o usuarios del sistema.
Versin 0.4
Manual de Usuario
Pgina 18 de 64
Desde el men del rbol de secciones de la columna izquierda es posible acceder al listado de No Conformidades, en l aparecen todos los registros presentes en el sistema, es posible filtrar el listado por campos, fechas, etc.
Este listado, al igual que toda la seccin de No conformidades slo est accesible para el usuario responsable de sistema. El resto de usuarios no tienen ningn tipo de acceso a esta seccin.
En esta ventana se muestra toda la informacin tal y como aparece en la Figura 7. Adems se muestra el listado de acciones correctivas asociadas a la No Conformidad. Tambin aparecen en esta ventana de detalle tres botones con las siguientes funcionalidades: 1. Nueva Accin Correctiva. Permite aadir acciones correctivas a la No Conformidad. (Ver punto 3.3.3). 2. Mostrar informe: El responsable de sistema puede generar informes de No Conformidades con todos sus datos para imprimir, o guardar en un archivo. 3. Cambiar estado a; El responsable de sistema puede modificar el estado de la No Conformidad. Los estados posibles son: (a) (b) Cerrada. Da por cerrada y resuelta una No Conformidad. No Conformidad. Se mantiene abierta, en espera de resolucin.
3.3.3 Crear acciones correctivas para No conformidades De forma similar a incidencias tcnicas, se aplican acciones correctivas a las No conformidades. Para ello, el responsable de sistema, pulsando el botn de Nueva accin correctiva desde la ventana de detalle de No Conformidad, podr introducir la informacin necesaria: Desde el formulario (Figura 5), se pedir al usuario que introduzca la siguiente informacin relativa a la accin:
Versin 0.4
Manual de Usuario
Pgina 19 de 64
1. Id Accin. Es el identificador nico de accin. Este campo obtiene su valor automticamente desde el programa. 2. Fecha. Fecha en la que se establece la accin. 3. Accin. Descripcin de la/s tarea/s que componen la accin. 4. Plazo (das). Nmero de das estimado para llevar a cabo la accin. 5. Coste (Euros). Coste econmico asociado a la implantacin de la accin. 6. Responsable de implantacin. Usuario al que se le notificar la responsabilidad de implantacin de la accin. El programa abrir el cliente de correo por defecto para que el usuario enve la notificacin. 3.3.4 Control de eficacia de las acciones correctivas A las acciones correctivas de No Conformidades se les aplica un control de eficacia del mismo modo que se aplica a las incidencias tcnicas. Ver el punto 3.2.5. 3.3.5 Creacin de informes. No Conformidades y listados La generacin de informes de No conformidades es similar a la gestin de informes de incidencias tcnicas. Para generar informes en forma de listado, basta pulsar el botn de Mostrar Informe desde cualquiera de los listados de No Conformidades.
Para generar informes de detalle de No Conformidades en formato de detalle, hay que pulsar el botn de Mostrar informe desde la ventana de detalle de No Conformidad, una vez seleccionada desde un listado.
Versin 0.4
Manual de Usuario
Pgina 20 de 64
Captulo 4
4.1
El mdulo de Mejora continua ofrece la posibilidad de introducir acciones que irn enfocadas a la prevencin de incidencias y a la mejora del sistema. Son las acciones preventivas y las acciones de mejora.
Para acceder a este mdulo, es necesario hacer clic en el botn de Mejora continua de la barra de botones vertical de la columna izquierda. 4.1.1 Crear acciones preventivas y de mejora En el men del rbol de secciones de la columna izquierda, aparece la opcin de crear acciones preventivas y de mejora. Haciendo clic sobre ella, se accede al formulario de insercin de acciones (Figura 8).
Versin 0.4
Manual de Usuario
Pgina 21 de 64
Este formulario solicita los siguientes datos: 1. Tipo de accin. Puede ser preventiva o de mejora. 2. Fecha. Da en que se notifica la accin. 3. Asunto. Breve descripcin de la accin. Es la que aparecer en los listados y los informes. 4. Accin. Descripcin detallada de la accin. 5. Responsable de implantacin. Persona registrada en el sistema (usuario) responsable de llevar a cabo dicha accin. 6. Plazo (das). Plazo estimado para llevar a cabo la accin. 7. Promotor de la accin. Persona registrada en el sistema (usuario) que ha planteado la accin. 8. Coste. Cantidad econmica estimada que supondr la implementacin de la accin.
Una vez rellenados los campos, el botn Aceptar, registrar la accin en el sistema. 4.1.2 Acciones de Mejora En el men del rbol de secciones de la columna izquierda, tambin est disponible la opcin de consulta de acciones de mejora. (ver punto 4.1.3).
Este listado, muestra todas las acciones de mejora registradas. Tambin permite introducir un identificador de accin para acceder directamente a la ficha de una accin. Por otro lado tambin permite, filtrar el listado por estados de las acciones, y por intervalos de fechas. As como ordenar por campos.
Desde este mismo listado, se ofrece la posibilidad de generar informes de listados, listos para imprimir o guardar. Haciendo clic sobre un registro del listado, se despliega la ficha de la accin, en la que se muestra toda su informacin (Figura 9).
Versin 0.4
Manual de Usuario
Pgina 22 de 64
Desde el formulario de ficha de accin, es posible completar el control de eficacia (ver Figura 6), haciendo clic sobre el botn. Tambin se puede crear un informe de la misma desde el botn de crear informe. 4.1.3 Acciones Preventivas En el rbol de opciones, est la opcin de Acciones Preventivas, cuya funcionalidad es similar a la opcin de Acciones de mejora (ver punto 4.1.2).
Desde este punto, se puede acceder a todas las acciones preventivas registradas en el sistema. Haciendo clic sobre una de ellas se accede al formulario de ficha de la accin (Figura 9). Desde el cual, es posible realizar su control de eficacia y generar el informe correspondiente.
Versin 0.4
Manual de Usuario
Pgina 23 de 64
Captulo 5
5
5.1
La entrada Nuevo Documento que se muestra en el rbol de la columna izquierda permite crear una nueva entrada para un documento en el gestor documental. Al seleccionar dicha entrada se accede al formulario en el cual se indica el grupo documental al que pertenece el nuevo documento (Figura 10). Si el documento nuevo es un anexo o est relacionado con otro documento se indica seleccionando el men despegable Relacionar con el grupo: (Figura 10). Esta opcin mostrar los documentos de dicho grupo y se podr elegir el documento con el cual est relacionado.
Versin 0.4
Manual de Usuario
Pgina 24 de 64
Una vez que esta informacin es conocida el siguiente paso es rellenar los datos para identificar el documento. En el segundo formulario (Figura 11) se solicitan al usuario los datos siguientes: 1. Nombre: el nombre del documento en el gestor documental. No es necesario que sea el mismo que el documento, pero es aconsejable. 2. Grupo documental: Grupo al que pertenece el documento. Este dato ha sido rellenado en el formulario anterior. 3. Cdigo: Cdigo de identificador nico para el documento. Se genera
automticamente una vez se guarde el documento. 4. Fecha de creacin. 5. Fecha de caducidad: No es necesario que todo documento tenga fecha de caducidad, por tanto este dato es optativo. 6. Estado: Estado en el que se encuentra el documento, al ser un nuevo documento por defecto se encontrar en estado borrador. 7. Autor: El autor del documento ser el usuario actual. 8. Versin: Versin en la que se encuentra el documento. 9. Archivo asociado: Este campo indica el archivo al que hace referencia el documento y es el que se va a guardar en la base de datos. 10. Relacionado con el documento: Este campo indica el documento al que hace referencia el nuevo documento, si se da el caso. 11. Comentario: Es una breve nota que va asociada al documento.
Ciertos documentos se crean a partir de plantillas. Si el botn Generar plantilla (Figura 11) est activado significa que este documento puede crearse a partir de una plantilla. Si todos los datos necesarios estn rellenados al seleccionar dicho botn, se podr generar un fichero con una estructura predeterminada para facilitar la creacin de nuevos documentos.
El botn Aadir Archivo (Figura 11) asociar el fichero que contiene la informacin al nuevo documento. Una vez asociado el fichero al documento se podr guardar este en la base de datos al activar el botn Guardar (Figura 11).
Si el documento est actualizado y almacenado en la base de datos, el usuario podr modificar el estado del documento a pendiente de revisin si lo considera oportuno. Al activar la opcin Solicitar Revisin (Figura 11) se requerir indicar un aprobador que
Versin 0.4
Manual de Usuario
Pgina 25 de 64
revise el documento. Mientras el aprobador no revise el documento, ste quedar bloqueado en el estado Pendiente de revisin y no podr ser modificado.
Si el perfil de usuario no tiene permisos de escritura en ningn grupo documental o es un perfil de aprobador, no podr crear ningn documento. 5.2 Biblioteca
5.2.1 Biblioteca documental En la biblioteca se encuentran los documentos del gestor documental y las distintas acciones que se pueden realizar sobre ellos. Al seleccionar esta opcin se mostrar un listado (Figura 12) de los distintos documentos a los cuales el usuario actual tiene, al menos, permiso de lectura. El botn Filtrar listado (Figura 12) permite aplicar un filtro a la lista de documentos para facilitar la bsqueda de un documento concreto. Tambin se puede usar la opcin de Buscar que insertando el cdigo de un documento mostrar la informacin de dicho documento en pantalla, permitiendo as una bsqueda an ms directa.
Versin 0.4
Manual de Usuario
Pgina 26 de 64
Una vez seleccionado el documento, ya sea usando la bsqueda o indicndolo en el listado, se mostrar una ficha con informacin sobre el documento (Figura 13). Los datos que se muestran en esta ficha dependen del nivel de acceso que posea el usuario al documento:
1. Consultar los datos del documento en la ficha. 2. Modificar el nombre y el comentario del documento, para ello slo hay que insertar los nuevos datos y tras ello activar el botn Guardar Cambios (Figura 13) para que estas modificaciones sean almacenadas. Si el documento est pendiente de aprobacin, no se podr modificar su nombre. 3. Descargar cualquier versin del documento que est almacenada en la base de datos. Esto se puede realizar seleccionando la versin deseada en el listado que aparece en la parte inferior de la ficha (Figura 13). As mismo se puede usar el botn Descargar si lo que se desea es guardar en su equipo local la versin vigente del documento. 4. Aadir nuevos ficheros al documento. Si se quiere revisar el documento el usuario podr aadir nuevas versiones de ste para, previa revisin por parte de un
Versin 0.4
Manual de Usuario
Pgina 27 de 64
aprobador, que puedan entrar en vigor. Slo puede existir un fichero borrador al mismo tiempo para un documento. 5. Eliminar el fichero borrador del documento. Siempre que el documento tenga un fichero en estado borrador, se podr borrar dicho fichero por el usuario que lo cre. Si este fichero es el nico que el documento posee, el documento tambin ser borrado. 6. Solicitar la revisin de un borrador. Si el documento tiene un fichero borrador, el usuario que ha escrito el documento podr solicitar la revisin de dicho borrador usando la opcin Solicitar Revisin. 7. Asignar y consultar usuarios de obligada lectura. En la pestaa de Obligada Lectura (Figura 14) se podrn asignar usuarios que deban leer el documento, as como consultar si los usuarios que deben leer el documento, lo han hecho o no. 8. Ver los documentos con los cuales est relacionado el documento actual. sto se muestra en forma de listado en la pestaa Documentos Relacionados (Figura 15).
1. Consultar los datos del documento en la ficha. 2. Descargar la versin vigente del documento, usando el botn Descargar siempre y cuando exista una versin vigente del documento.
1. Consultar los datos del documento en la ficha. 2. Modificar el comentario del documento, para ello solo hay que insertar los nuevos datos y tras ello activar el botn Guardar Cambios (Figura 13) para que estas modificaciones sean almacenadas. 3. Descargar cualquier versin del documento que est almacenada en la base de datos. Esto se puede realizar seleccionando la versin deseada en el listado que aparece en la parte inferior de la ficha (Figura 13). As mismo se puede usar el botn Descargar si lo que se desea es guardar en su equipo local la versin vigente del documento. 4. Asignar y consultar usuarios de obligada lectura. En la pestaa de Obligada Lectura (Figura 14) se podrn asignar usuarios que deban leer el documento, as como consultar si los usuarios que deben leer el documento, lo han hecho o no.
Versin 0.4
Manual de Usuario
Pgina 28 de 64
5. Ver los documentos con los cuales est relacionado el documento actual. sto se muestra en forma de listado en la pestaa Documentos Relacionados (Figura 15). 6. Revisin. El aprobador puede revisar un documento en estado pendiente de revisin para analizarlo y posteriormente considerarlo apto pasndolo a estado aprobado, o descartarlo pasndolo a estado rechazado.
Versin 0.4
Manual de Usuario
Pgina 29 de 64
Versin 0.4
Manual de Usuario
Pgina 30 de 64
5.2.2 Lectura obligada Al igual que en la biblioteca documental, en lectura obligada se muestra un listado de documentos, los cuales, el usuario actual tiene la obligacin de leer.
Al seleccionar un documento del listado se mostrar una ficha del documento similar a la que se muestra en biblioteca documental, pero se aade una casilla Confirmo la lectura del documento (Figura 16) que, una vez ledo el documento, el usuario debe marcar para indicarlo.
Versin 0.4
Manual de Usuario
Pgina 31 de 64
Captulo 6
6
6.1
6.1.1 Dimensiones y criterios Esta ventana muestra informacin relativa al impacto que tiene la prdida del activo con respecto a las diferentes dimensiones de cada escenario del sistema. (Figura 17).
Desde esta ventana se pueden modificar los diferentes criterios de las dimensiones de integridad, confidencialidad o disponibilidad. Cada dimensin tiene un nmero de criterios fijos, pero la definicin de los criterios es modificable.
6.1.2 Escenarios La opcin de escenarios muestra un listado de escenarios definidos actualmente en el sistema. Desde esta ventana se pueden modificar los escenarios definidos, as como eliminarlos o definir nuevos escenarios (Figura 18).
Versin 0.4
Manual de Usuario
Pgina 32 de 64
Cada escenario tiene definido una escala de valoracin con cinco posibles estados que pueden ser modificados tanto en nombre como en descripcin.
6.1.3 Controles En este apartado se definen los puntos de la organizacin, en materia de seguridad, sobre los que se llevar el seguimiento. Permite establecer el estado inicial del control y el estado que se espera alcanzar al aplicar dicho control.
Versin 0.4
Manual de Usuario
Pgina 33 de 64
6.1.4 Vulnerabilidades Desde esta ventana se muestra un listado con todas las vulnerabilidades definidas en el sistema.
Se pueden definir nuevas vulnerabilidades usando el botn Nueva Vulnerabilidad. Para definir una nueva vulnerabilidad solo es necesario un nombre y una descripcin de la misma.
Tambin se pueden modificar las vulnerabilidades ya existentes. Seleccionndolas del listado se mostrar una ventana (Figura 21) donde se podrn modificar los siguientes datos de la vulnerabilidad:
Nombre. Descripcin. Asociar Amenazas: Esta opcin permite aadir o quitar amenazas relacionadas con esa vulnerabilidad.
Versin 0.4
Manual de Usuario
Pgina 34 de 64
6.1.5 Niveles de riesgo La opcin de niveles de riesgo (Figura 22) permite aadir, eliminar o modificar los niveles de riesgos definidos en el sistema. Cada nivel de riesgo viene definido por un nombre, una descripcin y un valor que ser el nmero mximo de riesgo que se encuentra en ese nivel.
El valor indica un intervalo desde el valor directamente inferior de otro nivel de riesgo hasta el valor indicado en el nivel actual.
Versin 0.4
Manual de Usuario
Pgina 35 de 64
6.1.6 Probabilidad Pulsando sobre esta opcin es posible definir diferentes tipos de amenazas dependiendo de la probabilidad (Figura 23).
6.2
Anlisis
Desde el submen Anlisis se controla la insercin y modificacin de datos previos al estudio del riesgo de cada activo. 6.2.1 Actividad y Proceso de negocio Esta seccin permite una nueva Actividad o un nuevo Proceso de Negocio que ser utilizado posteriormente en la creacin de un nuevo activo.
Esta opcin lista las actividades y los procesos de negocio que actualmente estn definidos en el sistema. Se pueden aadir nuevos procesos de negocio o actividades con la opcin Nueva actividad o proceso de negocio y se pueden modificar los actualmente definidos seleccionndolos desde el listado
Versin 0.4
Manual de Usuario
Pgina 36 de 64
Los datos de cada proceso de negocio son los siguientes: Nombre del proceso/actividad. Descripcin del proceso/actividad.
6.2.2 Activos En esta pestaa se muestra un listado de todos los activos que existen actualmente en el sistema (Figura 25).
Versin 0.4
Manual de Usuario
Pgina 37 de 64
El botn nuevo muestra un formulario que sirve para aadir nuevos activos al sistema (Figura 26), mientras que si se pulsa en un activo de la tabla se mostrarn datos relativos a este por pantalla (Figura 27).
Al crear un nuevo activo sern necesarios los siguientes datos: Nombre: nombre del activo. Categora: categora a la que pertenece el activo. Puede ser una de las siguientes: Personas, Informacin, Software, Hardware o Entorno.
Versin 0.4
Manual de Usuario
Pgina 38 de 64
Descripcin: Informacin adicional relativa al activo. Ubicacin: situacin donde est emplazado el activo. Responsable: usuario responsable de la gestin del activo. Cargo del responsable: cargo que ocupa el responsable del activo. Actividad o Proceso: actividad o proceso de negocio que se realiza con el activo.
6.2.2.1 Panel Datos Desde el panel de datos de un activo (Figura 27) se pueden modificar los campos relativos a este adems de otras opciones como aadirle procesos a los que pertenece el activo, activos dependientes de este y ver el impacto del activo para cada dimensin de cada escenario existente.
Los datos que se pueden modificar del activo son los mismos que se introducen al crear un nuevo activo. Adems se puede cambiar el propietario del.
6.2.2.2 Dependencias del activo Desde esta pestaa, dentro los datos del activo, se le pueden asignar un nmero de activos que dependen de l. Los activos que pueden ser dependientes del actual estn
Versin 0.4
Manual de Usuario
Pgina 39 de 64
limitados por la categora a la que pertenecen dichos activos con respecto al actual (Figura 28).
6.2.2.3 Clculo del impacto del activo Esta opcin permite asignar el impacto que tendr la prdida del activo en el sistema. Al seleccionar un activo del listado de activos totales del sistema se mostrar una ventana (Figura 29) donde se deber indicar, dependiendo del escenario, como se considera la prdida del activo respecto a cada criterio de cada dimensin.
Versin 0.4
Manual de Usuario
Pgina 40 de 64
6.2.3 Amenazas Al seleccionar la opcin Amenazas, se mostrar una nueva ventana donde se listan las amenazas existentes relacionadas con dicho activo (Figura 30).
Desde el men desplegable se pueden seleccionar las amenazas que tiene asignadas el activo actualmente. Para asignar ms amenazas las asignadas se debe usar el botn
Versin 0.4
Manual de Usuario
Pgina 41 de 64
Nueva Amenaza que mostrar una ventana emergente donde se puede aadir los datos de la nueva amenaza, su naturaleza y a qu dimensin afecta.
Para cada amenaza del activo se puede modificar la probabilidad con la que puede pasar desde el listado de amenazas (Figura 31).
6.2.4 Test Inicial Con la realizacin del test inicial se comprueba el estado actual de la organizacin y de los recursos disponibles. Para ello se responde a todos los controles definidos anteriormente en la configuracin.
Se puede obtener una copia del estado inicial de la organizacin para imprimir pulsando en el botn Informe Test Inicial.
Versin 0.4
Manual de Usuario
Pgina 42 de 64
6.2.5 Clculo del Riesgo Intrnseco El riesgo del activo ser el mximo los riesgos de cada una de sus amenazas. Si de l dependen activos de mayor riesgo, el activo heredar el riesgo que sea mayor.
6.2.5.1 Listado del Riesgo Intrnseco por activo Al pulsar sobre el botn Clculo del Riesgo Intrnseco situado en la parte inferiorderecha de la ventana, aparece una ventana emergente donde se muestra un listado de
Versin 0.4
Manual de Usuario
Pgina 43 de 64
todos los activos clasificados por categoras. Tambin se puede ver cmo estn afectadas cada una de las dimensiones del activo y la probabilidad del riesgo.
6.2.6 Clculo del Riesgo Efectivo Al seleccionar la opcin Clculo Riesgo Efectivo en el men situado en la parte izquierda, se obtiene un listado con el riesgo efectivo de cada amenaza. Este clculo se realiza con los datos introducidos en pasos anteriores.
Versin 0.4
Manual de Usuario
Pgina 44 de 64
6.2.6.1 Riesgo Efectivo por dominio Al pulsar sobre el botn R. Efectivo por dominio se obtiene una ventana donde est clasificado el riesgo de cada amenaza por el dominio correspondiente.
6.2.6.2 Riesgo Efectivo por Activo Al pulsar sobre el botn R. Efectivo se obtiene una ventana donde est clasificado el riesgo de cada amenaza por el activo.
Versin 0.4
Manual de Usuario
Pgina 45 de 64
6.2.7 SOA SoA (Statement of Aplicability) identifica a los controles aplicados por el SGSI de la organizacin, detallando porqu son apropiados esos controles.
6.2.8 Plan de Accin Dentro del Plan de Accin se indicar el estado que se pretende alcanzar y las acciones que se realizan para cumplir con los objetivos de cada uno de los controles previamente establecidos (Figura 39).
Versin 0.4
Manual de Usuario
Pgina 46 de 64
6.2.9 Clculo del Riesgo Residual De uso similar al riesgo intrnseco, se utiliza la nueva probabilidad de la amenaza y el nuevo impacto del activo generado de aplicar los controles.
Versin 0.4
Manual de Usuario
Pgina 47 de 64
Se compara su riesgo residual con la tabla de nivel de riesgo. Los activos que sobrepasen los niveles de riesgos aceptables se marcarn en rojo y se avisar para que replantee su Plan de Tratamiento de Riesgo.
Versin 0.4
Manual de Usuario
Pgina 48 de 64
Parte II
Programa de Administracin
Versin 0.4
Manual de Usuario
Pgina 49 de 64
Captulo 7
7
7.1
El programa de administracin es el entorno que permite crear, configurar y gestionar el sistema SGSI. Tambin es el encargado de gestionar todos los usuarios del sistema, sus perfiles de privilegios de acceso a cada mdulo y sus funcionalidades.
Para iniciar una sesin de administracin hay que autentificarse como administrador de sistema, que es el nico usuario con privilegios suficientes para acceder al programa. Desde el punto de vista del servidor de base de datos es un usuario con privilegio de administracin. 7.2 Crear nuevo SGSI
Desde el programa administracin se puede gestionar todas las operaciones relativas a crear, modificar o eliminar SGSI.
Para crear un nuevo SGSI slo hay que seleccionar la opcin Nuevo en el men SGSI de la barra de opciones. Tras autentificarse en el sistema como administrador, el programa solicita un nombre y una breve descripcin para el SGSI que se est creando (Figura 42).
El nombre del SGSI slo puede contener caracteres alfanumricos sin incluir tildes ni la letra . Esto es una medida de seguridad para evitar conflictos con el servidor de base de datos.
Versin 0.4
Manual de Usuario
Pgina 50 de 64
Una vez creado el SGSI se mostrar informacin del proceso realizado en la ventana de descripcin. 7.3 Eliminar un SGSI existente
Si se desea eliminar un SGSI del sistema, basta con seleccionar la opcin Eliminar en el men SGSI de la barra de opciones. Previa autentificacin en el sistema, se muestra un listado de los SGSI existentes y para llevar a cabo la eliminacin basta con seleccionar el SGSI deseado y pulsar el botn Eliminar. Hay que tener en cuenta que esta accin no tiene vuelta atrs y una vez eliminado un SGSI no se podr recuperar.
Versin 0.4
Manual de Usuario
Pgina 51 de 64
Para poder eliminar un SGSI hay que asegurarse que no hay ninguna sesin de usuario o administracin abierta, en tal caso, no ser posible llevar a cabo la accin. 7.4 Modificar un SGSI existente
Seleccionando la opcin Cargar en el men SGSI de la barra de opciones se podr acceder a un SGSI ya existente en el sistema. Para llevar a cabo esta accin tambin es necesaria la autentificacin como administrador.
Una vez cargado el SGSI deseado se podr acceder a la modificacin de las opciones dentro de cada mdulo, este proceso se muestra detalladamente ms adelante. 7.5 Usuarios de un SGSI
Una vez cargado un SGSI, se pueden modificar los usuarios existentes, crear nuevos o desactivarlos si as se desea.
Para ello hay que seleccionar la opcin Gestin de usuarios en el men Usuarios de la barra de opciones. Esto muestra un listado de los usuarios actuales del sistema. Tras acceder, haciendo clic en un usuario determinado se mostrarn los datos de ste (Figura 44) y se permite modificar dichos datos.
Versin 0.4
Manual de Usuario
Pgina 52 de 64
Para crear un usuario nuevo basta con pulsar el botn Nuevo en el listado de usuarios y se abrir una ventana de dilogo similar a la que muestra los datos del usuario. (Figura 44)
1. Nombre y apellidos del usuario. 2. Nombre del usuario. Es el nombre o login del usuario dentro del sistema. 3. eMail. Debe de tener un formato de correo electrnico vlido. 4. Telfono del usuario. (opcional) 5. Fecha de caducidad de la cuenta. (opcional) 6. Comentario. (opcional) 7. Usuario activo. Indica si al usuario le est permitido acceder al sistema actualmente. 8. Contrasea: Se debe introducir dos veces para validar que no hay ningn error. 7.6 Apartados de la norma
Este punto muestra un listado con los apartados de la norma ISO 27001. Estos apartados pueden ser modificados, e incluso se permite aadir nuevos, en caso de ser necesario. (Figura 45)
Versin 0.4
Manual de Usuario
Pgina 53 de 64
Versin 0.4
Manual de Usuario
Pgina 54 de 64
Captulo 8
8
8.1
Cada usuario del sistema debe tener asignado un perfil en el gestor de incidencias. Para asignar un perfil slo hay que seleccionar el usuario deseado y utilizando los botones de asignacin se le incluir en el perfil previamente seleccionado en la pestaa desplegable situada en la esquina superior derecha. (Figura 46).
Los perfiles que pueden adoptar los usuarios son de tres tipos:
1. Usuario genrico. Este usuario puede crear o consultar incidencias. 2. Responsable del sistema. Usuario genrico que adems puede eliminar o clasificar las incidencias como tcnicas o como no conformidad. 3. Responsable tcnico. Usuario genrico que, adems de lo anterior, realiza las acciones correctivas necesarias para resolver una incidencia o una no conformidad de forma satisfactoria. 4.
Versin 0.4
Manual de Usuario
Pgina 55 de 64
Se permite, tambin, eliminar de un perfil a un usuario. Para ello se debe seguir el mismo proceso descrito, pero a la inversa. 8.2 Prioridades de incidencia
Cada incidencia tiene una prioridad que determina la necesidad de ser resuelta. Haciendo clic en Prioridades de incidencia en el rbol izquierdo se mostrar un listado (Figura 47) con las distintas prioridades existentes en el sistema. Haciendo clic en cada prioridad se podrn modificar el nombre o la descripcin de la misma y haciendo clic en el botn de Nuevo se podrn aadir nuevas prioridades al sistema.
8.3
Tipos de incidencias
Los tipos de incidencias sirven para agrupar las incidencias segn su naturaleza. Al igual que con las prioridades se pueden modificar los tipos existentes que se muestran en el listado o crear nuevos tipos usando el botn Nuevo.
Versin 0.4
Manual de Usuario
Pgina 56 de 64
Captulo 9
9
9.1
Para poder acceder al gestor documental, todo usuario del sistema debe de tener asignado un perfil. Los perfiles consisten en grupos de usuarios que comparten unos privilegios genricos de acceso a los documentos del sistema. Por defecto hay dos grupos de usuarios: el escritor, que tiene acceso de escritura y lectura a todos los grupos documentales, y el lector que tiene acceso de lectura a todos los grupos documentales.
Desde la opcin Perfiles de usuario (Figura 48) del rbol izquierdo se puede asignar un grupo de usuarios a los usuarios que no pertenezcan a ninguno, o sacar de un grupo a un usuario si se desea.
Se debe tener en cuenta que el perfil de aprobador es un grupo especial de usuarios y no se trata de la misma manera que el resto de grupos. De este perfil especial se hablar ms adelante.
Versin 0.4
Manual de Usuario
Pgina 57 de 64
9.2
Grupos de Usuarios
Desde esta opcin se puede controlar la creacin de nuevos grupos y eliminacin de los ya existentes. Al seleccionar Grupos de usuarios (Figura 49) se muestra un listado de los grupos ya existentes que pueden ser modificados, para ello al seleccionarlos en el listado se despliega una ventana con informacin concerniente al grupo (Figura 50).
Desde dicha ventana se puede modificar tanto el nombre como la descripcin del grupo en cualquier momento, pero para poder eliminar dicho grupo, ste no debe contener ningn usuario.
El panel de Grupos de Usuarios tambin nos ofrece la posibilidad de crear grupos usando el botn Nuevo Grupo (Figura 49). Para ello slo hay que insertar el nombre del grupo y una breve descripcin del mismo. La opcin Asignar Usuarios (Figura 49) tiene la misma funcionalidad que el men Perfiles de usuario visto en el punto anterior.
Versin 0.4
Manual de Usuario
Pgina 58 de 64
9.3
Grupos de documentos
Los documentos del gestor documental estn agrupados de tal manera que cada documento pertenece a un nico grupo de documentos. La entrada Grupos de documentos del rbol izquierdo nos muestra un listado de todos grupos que actualmente existen en el sistema. Para crear un grupo hay que seleccionar la opcin Nuevo Grupo (Figura 51). Se pedirn los siguientes datos:
1. Nombre con el cual se va a identificar el grupo. 2. Cdigo. El cdigo sirve para asignar un identificador a los documentos del grupo que lo relacione con el grupo al que pertenecen. Este cdigo suele ser una combinacin de unas pocas letras maysculas, entre dos o tres, aunque acepta ms. 3. Breve descripcin del grupo de documentos. 4. Asociar a otros grupos. Esta opcin indica que los documentos del grupo que est siendo creado son anexos o estn relacionados con los documentos de uno o varios de los grupos asociados al nuevo. Si no se indica aqu esta relacin, no se permitir relacionar un documento con otro en el momento de su creacin.
Versin 0.4
Manual de Usuario
Pgina 59 de 64
Para modificar los grupos ya existentes hay que seleccionar el grupo en el listado de Grupos de documentos (Figura 51) y se mostrar una ventana similar a la de nuevo grupo (Figura 50). A un grupo ya existente se le puede modificar tanto el nombre como la descripcin en cualquier momento. El cdigo se puede modificar siempre y cuando el grupo no contenga documentos.
Versin 0.4
Manual de Usuario
Pgina 60 de 64
Tambin se le pueden aadir nuevos grupos relacionados y quitar otros ya existentes siempre y cuando se tengan en cuenta los cdigos de los documentos ya existentes para no crear incongruencias.
Al seleccionar un grupo documental se muestra un listado de los documentos que pertenecen a dicho grupo en la parte inferior de la ventana (Figura 52) y al hacer clic en uno de esos documentos se muestra una ventana con informacin de ste. Desde esta ventana se puede eliminar el documento o marcarlo como no vlido, lo que significa no borrar el documento fsicamente pero el programa cliente lo tratar como si no estuviese en el sistema.
Si se quiere borrar un grupo documental antes hay que asegurarse de que dicho grupo no contenga documentos pues de otra manera no se podr llevar a cabo la eliminacin. 9.4 Aprobadores
Como ya se ha comentado en el punto Perfiles de usuario, para que un usuario pueda acceder al gestor documental debe tener asignado un perfil en forma de grupo de usuarios. Un caso especial de perfiles es el de aprobadores.
El perfil de aprobador tiene acceso a todos los documentos de una forma especial, pueden leer todos los documentos y tienen la tarea de analizarlos y aprobarlos o rechazarlos. Una vez que a un usuario se le ha asignado el perfil de aprobador, si este usuario ya ha aprobado documentos, no se podr cambiar de perfil. Para asignar a un usuario el perfil de aprobador debe hacerse desde la opcin Aprobadores del rbol izquierdo del programa administrador. El interfaz es similar al de Perfiles de usuario. 9.5 Privilegios
Para controlar el acceso a los documentos hay que asignar privilegios a cada usuario. Los privilegios se pueden asignar a nivel de usuario o a nivel de grupo de usuario. 9.5.1 Privilegios sobre los grupos de documentos
Al hacer clic en esta opcin se mostrar un listado de los distintos grupos documentales que hay actualmente en el sistema. Si hacemos clic en alguno de los grupos, se mostrar una ventana (Figura 53) con los distintos grupos de usuarios y los privilegios de lectura o escritura que actualmente posee frente a dicho grupo documental.
Versin 0.4
Manual de Usuario
Pgina 61 de 64
Si se desea modificar estos privilegios se debe hacer clic en la casilla correspondiente para activarlos o desactivarlos. Hay que tener en cuenta que para tener privilegio de escritura debe de tener tambin privilegio de lectura.
9.5.2
Al hacer clic en esta opcin se mostrar un listado de los distintos documentos que hay actualmente en el sistema. Si hacemos clic en alguno de los documentos se mostrar una ventana (Figura 54) con los distintos usuarios y los privilegios de lectura o escritura que actualmente posee frente a dicho grupo documental. Si se desea modificar estos privilegios hay que hacer clic en la casilla correspondiente para activarlos o desactivarlos. Hay que tener en cuenta que para tener privilegio de lectura debe de tener tambin privilegio de escritura.
Versin 0.4
Manual de Usuario
Pgina 62 de 64
La opcin de denegar acceso implica que dicho usuario no podr acceder a ese documento aunque tenga acceso a nivel de grupo. Por ltimo, si ninguna de las opciones est sealada se entiende que los privilegios no estn definidos a nivel de usuario ("sin definir explcitamente").
Para comprender mejor el uso de privilegios para restringir el acceso a los documentos se adjunta la siguiente tabla:
Usuario
Grupo de usuarios
Grupo documental
Documento
Lectura No No No Si Si
Escritura No No No No Si
Lectura No Si Si No No
Sin acceso a usuario Sin acceso a usuario Sin acceso a usuario Sin acceso a usuario lectura usuario lectura/escritura usuario lectura usuario lectura/escritura usuario
X X
X X
Si Si
No Si
Versin 0.4
Manual de Usuario
Pgina 63 de 64
Captulo 10
Versin 0.4
Manual de Usuario
Pgina 64 de 64
REVISADO POR: