PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado por: Vinicio Ureña Irola Firma: Nivel de confidencialidad: Privado
Historial de revisiones ASESORÍA EN TECNOLOGÍA DE LA Fecha Versión Autor Descripción 26/01/2012 1.0 PwC Costa Rica Creación del procedimiento. 1.0 Marco Vinicio Aprobación del procedimiento Ureña Irola 2
Tabla de Contenido 1. Objetivos... 4 2. Alcance... 4 3. Definiciones... 4 4. Roles y Responsabilidades... 4 5. Proceso Administración de Roles de los Sistemas de Información de la DTI... 5 5.1 Entradas al proceso... 5 5.2 Salidas al proceso... 5 5.3 Métricas de desempeño... 6 5.4 Proceso Administración de Roles de los Sistemas de Información de la DTI... 7 6. Diagrama de flujo... 9 6.1 Proceso: Administración de Roles de los Sistemas de Información de la DTI... 10 7. Procedimiento Administración de Roles de los Sistemas de Información de la DTI... 11 7.1 Administración de Roles... 11 8. Anexos... 13 8.1 Formulario FOR-PRC-DTI-006-01 Administración de Roles... 13 3
Procedimiento PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI 1. Objetivos Garantizar la seguridad de la información que albergan los Sistemas de Información del COSEVI, administrando los roles de dichos sistemas y documentando de manera eficaz y eficiente los cambios que se puedan presentar en los mismos. 2. Alcance Lo definido en este documento es aplicable a los funcionarios de la DTI encargados de la gestión de cada uno de los Sistemas de Información del COSEVI, la red, el correo electrónico y toda aquella infraestructura que requieran una administración de roles. 3. Definiciones Modificación: de acuerdo con la definición del marco de referencia ITIL, una modificación es cualquier adición, cambio o eliminación de hardware, dispositivos de telecomunicaciones, software, aplicaciones, ambientes, sistemas o documentación relacionada. Seguridad de la información: Conjunto de regulaciones, procedimientos y acciones dirigidas a preservar la confidencialidad, integridad y disponibilidad de la información, minimizar los riesgos y maximizar el retorno sobre la inversión y el aprovechamiento de oportunidades de negocios, a efecto de alcanzar los objetivos del COSEVI. Matriz RACI (matriz de asignación de responsabilidades): Se utiliza para relacionar actividades con recursos (individuos o equipos de trabajo) para asegurar que cada uno de los componentes del alcance esté asignado a un individuo o a un equipo. En la siguiente tabla se explica en qué consiste cada rol. Descripción R Responsable Este rol realiza el trabajo y es responsable por su realización. Es quien ejecuta las tareas. A Aprobador Este rol se encarga de aprobar el trabajo finalizado y a partir de este momento, se vuelve responsable de él. Debe asegurarse que se ejecuten las tareas. C Consultado Este rol posee la información o capacidad necesaria para terminar el trabajo. Se le informa y se le consulta información. I Informado Este rol debe ser informado sobre el progreso y los resultados del trabajo. 4. Roles y Responsabilidades A continuación se presentan los roles que están involucrados en el proceso de Administración de Roles de los Sistemas de Información de la DTI: Departamento de Tecnologías de Información (DTI): Es la instancia dueña del proceso Administración de Roles de los Sistemas de Información de la DTI. Es responsable de gestionar la correcta comunicación entre los solicitantes de roles y los dueños de los Sistemas de Información. Responsables del Sistema (RS): Funcionarios del COSEVI que se encargan del Sistema de 4
Información del cual se están administrando sus roles. Unidad Ejecutora (UE): Unidad del COSEVI que realizará la solicitud para la creación, modificación o eliminación del algún rol de los diferentes Sistemas de Información. Actividades Roles DTI RS UE 1. Enviar la solicitud para gestión del rol RA 2. Traspasar solicitud para gestión del rol RA I 3. Analizar las razones para gestionar nuevo rol I RA C 4. Informar rechazo CI RA 5. Informar la necesidad de gestionar el rol en el SI CI RA 6. Implementar gestión del rol en el Sistema de Información I RA 7. Informar al solicitante la resolución sobre la gestión del rol RA CI I R = Responsable A = Aprobador C =Consultado I = Informado 5. Proceso Administración de Roles de los Sistemas de Información de la DTI 5.1 Entradas al proceso Desde el Proceso PO2 Definir la arquitectura de la información. PO3 Determinar la dirección tecnológica PO9 Evaluar y administrar riesgos de TI AI2 Adquirir y mantener el software aplicativo. DS1 Definir y administrar niveles de servicio. Entradas al Proceso Arquitectura de Información; clasificación de datos asignados Estándares de tecnología Evaluación de riesgo Especificaciones de controles de seguridad en las aplicaciones OLAs 5.2 Salidas al proceso Salidas del Proceso Definición de incidentes de seguridad Requerimientos específicos de entrenamiento sobre conciencia de seguridad Reportes de desempeño del proceso Cambios de seguridad requeridos Amenazas y vulnerabilidades de seguridad Hacia el Proceso o dominio DS8 Administrar la mesa de servicios y los incidentes DS7 Educar y entrenar a los usuarios ME1 Monitorear y evaluar el desempeño de TI AI6 Administrar cambios PO9 Evaluar y administrar riesgos de TI 5
5.3 Métricas de desempeño ASESORÍA EN TECNOLOGÍA DE LA Se definió un formato para la descripción de las métricas para evaluar el desempeño de este proceso, a continuación se explica el detalle de cada uno de los campos de las tablas: Índice: Contiene el número consecutivo que se le da a la métrica que por lo general es de dos dígitos, así como un espacio para asignar el nombre con el se gestionará el mismo. Aunque el nombre no debe ser detallado, es importante incluir palabras clave que permitan identificar fácilmente qué se está midiendo. Objetivo: Se debe indicar claramente el motivo por el cual fue creada la métrica y las referencias que están siendo evaluadas. Nivel de Riesgo: Establece tres niveles de riesgo, los cuales son definidos previamente por la Dirección de Tecnologías de Información y que son específicos para cada métrica. Los niveles de riesgo se clasifican de la siguiente forma: Bajo (color verde): indica que el resultado del cálculo de la métrica representa una efectiva gestión de la Dirección de Tecnologías de Información. Medio (color amarillo): si el resultado del cálculo de la métrica se encuentra en el rango de valores indicado en esta casilla se puede deducir que la gestión aún está en un nivel donde acciones correctivas deberán ser tomadas. Alto (color rojo): en caso de ubicar el resultado del cálculo de las métricas en este punto, será necesario tomar acciones inmediatas para remediar la brecha existente y mejorar las métricas. Unidad de medida: Se utiliza para representar la unidad de medida con la que se expresa la métrica. Aunque es más común utilizar la unidad Porcentaje, también podrían existir unidades de medida de peso, velocidad y tiempo, entre otros. Frecuencia: La frecuencia hace referencia a la periodicidad con la que el cálculo de la métrica debe ser realizado. Valores comúnmente aceptados son horas, minutos, segundos, días, semanas, meses y años. Descripción: Relata en detalle aspectos propios de la métrica donde se pueden incluir temas sobre documentación relacionada y características de las mediciones. Se pueden hacer referencias a mejores prácticas, estándares, políticas, justificaciones y aclaraciones sobre otros campos del formulario. Fórmula: Operaciones básicas para conocer el resultado de la métrica. Insumos: Los insumos son una lista de requerimientos obligatorios que permitirán obtener la información necesaria para hacer el cálculo del resultado de la métrica. Estos insumos pueden ser el resultado de consultas a bases de datos, conteo manual de eventos, software y consultas de bitácoras, entre otros. A continuación se presentan las métricas que permitirán monitorear, en función de los objetivos previamente descritos, el desempeño de este proceso. Será responsabilidad de la Auditoría utilizar estas métricas para fiscalizar el desempeño del proceso. 6
INDICE 01: Fallos en la seguridad de la información por mala asignación de roles. Objetivo Nivel de riesgo Unidad de medida Bajo Menos del 20% Porcentaje Medio 20% valor 50% Alto Más del 50% Garantizar la seguridad de la información que albergan los Sistemas de Información del COSEVI, preservando su confidencialidad e integridad. Frecuencia Anual Descripción Los resultados determinarán qué tan efectivo es el proceso de Administración de Roles al indicar la cantidad de incidentes relacionados con fallos en la integridad y/o confidencialidad de la información. Fórmula ( X 100) Y Insumos Incidentes ingresados en la DTI en el período analizado % X = # incidentes de relacionados con fallos en la integridad o confidencialidad de la información y cuya causa raíz esté relacionada con mala definición o asignación de roles. Y = # incidentes ingresados en la DTI en el periodo analizado. 5.4 Proceso Administración de Roles de los Sistemas de Información de la DTI Ref Actividad Descripción # 1. Se requiere gestionar un rol en un SI? Se requiere gestionar un rol en un SI? Sí, va al paso 2. Enviar la solicitud para gestión de nuevo rol. No, termina el proceso. 2. Enviar la solicitud para gestión del rol La Unidad Ejecutora envía la solicitud para gestionar el rol, utilizando para esto el formulario FOR-PRC.DTI-006-01 Administración de Roles de Sistemas. 3. Traspasar solicitud para gestión del rol La DTI realiza el traspaso de la solicitud para gestión del rol al responsable del Sistema de Información para su validación. 4. El rol ya existe en el sistema? El rol ya existe en el sistema? Sí, va al paso 6. Se trata del rol de administrador? No, va al paso 5. Se requiere crear un rol? 7
5. Se requiere crear un rol? Se requiere crear un rol? Sí, se va al paso 8. Analizar las razones para gestionar nuevo rol. No, se va al paso 10. Informar rechazo, indicando que el rol ya existe en el sistema. 6. Se trata del rol de administrador? Se trata del rol de administrador? Sí, se va al paso 7. Se requiere eliminar el rol? No, se va al paso 8. Analizar las razones para gestionar nuevo rol 7. Se requiere eliminar el rol? Se requiere eliminar el rol? Sí, se va al paso 10. Informar rechazo indicando que el rol de administrador no puede ser eliminado. No, se va al paso 8. Analizar las razones para gestionar nuevo rol 8. Analizar las razones para gestionar nuevo rol El Responsable del Sistema realiza un análisis del rol para determinar si este debe ser gestionado. 9. Es necesaria la gestión del rol en el SI? Es necesaria la gestión del rol en el SI? Sí, se va al paso 11. Informar la necesidad de gestionar el rol en el SI No, se va al paso 10. Informar rechazo, indicando las razones del análisis para rechazar la creación del rol. 10. Informar rechazo El Responsable del Sistema le informa a la DTI el rechazo de la gestión del rol indicando claramente la justificación para el rechazo. Va al paso 13. 11. Informar la necesidad de gestionar el rol en el SI El Responsable del Sistema informa a la DTI la necesidad de gestionar el rol en el Sistema de Información de acuerdo al análisis realizado. 12. Ejecutar proceso: Administración y Liberación de Cambios para Implementar gestión del rol en el Sistema de Información 13. Informar al solicitante la resolución sobre la gestión del rol El Responsable del Sistema ejecuta el proceso: Administración y Liberación de Cambios para llevar a cabo la implementación de la gestión del rol en el Sistema de Información. La DTI informa la resolución a la Unidad Ejecutora, ya sea el rechazo con su justificación o bien la aceptación e implementación de la solicitud. Termina el proceso. Fin del Proceso Administración de Roles de los Sistemas de Información de la DTI 8
6. Diagrama de flujo ASESORÍA EN TECNOLOGÍA DE LA Simbología A continuación se presentan los símbolos más importantes utilizados para la realización de los diagramas de flujo. 9
6.1 Proceso: Administración de Roles de los Sistemas de Información de la DTI 10
7. Procedimiento Administración de Roles de los Sistemas de Información de la DTI 7.1 Administración de Roles Unidad Ejecutora 7.1.1 Determina si se requiere gestionar un rol, es decir si se tiene la necesidad de agregar, modificar o eliminar un rol de alguno de los sistemas de información del COSEVI. En caso de requerir gestionar el rol, se va al paso 7.1.2. Si no se requiere gestionar un rol, termina el proceso. 7.1.2 Envía la solicitud para gestionar el rol, para ello utiliza el formulario FOR-PRC-DTI-006-01. Por medio de este formulario debe decidir entre una de las tres opciones de gestión del rol: Creación del rol, modificación del rol y eliminación del rol, proporcionando el nombre del rol, el sistema de Información al cual se encuentra asociado, las funciones que tendrá, las que se agregarán / eliminarán y la justificación para la gestión del rol. Este formulario debe ir debidamente firmado por la jefatura de la Unidad Ejecutora que solicita la gestión del rol. DTI 7.1.3 Recibe la solicitud para gestión del rol y realiza el traspaso de dicha solicitud al responsable del sistema de información para la validación. Responsable del Sistema 7.1.4 Determina si el rol ya existe en el sistema. En caso de que el rol ya exista en el sistema, se va al paso 7.1.10 donde se indicará que el rol ya existe en el sistema. Si el rol no existe en el sistema va al paso 7.1.5. 7.1.5 Determina si se requiere crear un nuevo rol. En caso de requerirse crear un nuevo rol, se va al paso 7.1.8. Si no se requiere crear un nuevo rol, significa que se requiere modificar o eliminar un rol que no existe en el sistema, por tanto se va al paso 7.1.10 indicando que no se puede eliminar o modificar un rol que no existe. 7.1.6 Determina si se trata del rol de administrador. En caso de que se trate del rol de administrador, se va al paso 7.1.7. Si no se trata del rol administrador se va al paso 7.1.8. 7.1.7 Determina si el rol que se va a eliminar se trata del rol de administrador. En caso de que se trate del rol administrador se va al paso 7.1.10 donde se indicará que el rol no puede ser eliminado pues se trata del rol administrador. Si no se trata del rol administrador, se va al paso 7.1.8. 7.1.8 Analiza las razones por las cuales se desea gestionar el rol. Se debe tomar en cuenta el impacto que puede tener esta gestión en el Sistema de Información al cual está asociado y a los usuarios. 7.1.9 Determina si es necesaria la gestión del rol en el Sistema de Información. En caso de ser requerida la gestión, se va al paso 7.1.11. Si no es requerida la gestión se va al paso 7.1.10 donde se indicará clara y detalladamente las razones por las cuales se rechaza el cambio. 7.1.10 Informa a la DTI por medio de un correo electrónico el rechazo de la gestión del cambio indicando detalladamente la razón para este rechazo. Va al paso 7.1.13. 11
7.1.11 Informa a la DTI por medio de un correo electrónico la necesidad de gestionar el rol en el Sistema de Información de acuerdo con el análisis realizado. 7.1.12 Ejecuta el Proceso PRC-DTI-005 Administración y Liberación de Cambios para realizar la implementación de la gestión del rol en el Sistema de Información. DTI 7.1.13 Informa a la Unidad Ejecutora por medio de un correo electrónico la resolución que se tomó con respecto a la gestión del rol, ya haya sido su rechazo con la justificación correspondiente. O bien, la aceptación e implantación de la solicitud. Termina el proceso. 12
8. Anexos ASESORÍA EN TECNOLOGÍA DE LA 8.1 Formulario FOR-PRC-DTI-006-01 Administración de Roles Administración de Roles Nombre del funcionario que realiza la solicitud: Puesto del funcionario: Fecha de la solicitud(dd/mm/aaaa): / / Tipo de gestión: Para la Creación de un Rol Nombre del rol: Sistema de Información al que se ingresará el rol: Funciones que se desea tenga el sistema : 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Justificación para la creación del rol: Para la Modificación de un Rol 13
Nombre del rol: Sistema de Información al que pertenece el rol: Funciones que se desean modificar: Función para agregar Función para eliminar Justificación para la modificación del rol: Para la Eliminación de un Rol Nombre del rol: Sistema de Información al que pertenece el rol: Justificación para la eliminación del rol: 14
Detalles adicionales: <Nombre del Responsable> Indicar Áreas Solicitante COSEVI 15