Estás viendo una versión antigua de esta página. Ve a la versión actual.

Comparar con el actual Ver el historial de la página

« Anterior Versión 2 Siguiente »

Proceso: Asesoramiento de seguridad


Objetivo

Establecer el flujo del proceso de asesoramiento en temas de seguridad que hace la Unidad de Seguridad TIC del SAS. 


Alcance

Este proceso aplica a los productos de tipo aplicación y a los de gestión de proyectos.

Roles

Los roles que intervienen en este proceso son

Rol

Descripción

Responsable de producto/Responsable de proyectoEs el máximo responsable del producto/proyecto desde el punto de vista de su gestión.
Unidad de Seguridad STICResponsable de la Evaluación del producto / proyecto desde el punto de vista de la seguridad. 


Flujo del proceso

En el ciclo de vida de cualquier proyecto o producto puede ser necesario pedir a la USTIC asesoramiento , hacer una consulta o hacer informes de seguridad. Este tipo de peticiones no deben confundirse con las evaluaciones de seguridad de proyectos y productos que se solicitan a la USTIC.

Ciclo de vida de las tareas de asesoramiento de seguridad

La creación de tareas de asesoramiento de seguridad no rquiere ningún campo específico diferente a cuando se crea una tarea general o con validación.

Se crean sin un asignado nominal pero asignadas a la unidad de seguridad, con lo que cualquiera de sus miembros puede asignársela.



Normalmente, la USTIC edita la tarea y le indica el tipo de tarea correspondiente, de manera que de esa forma clasifican y planifican el trabajo. Los tipos de tareas definidos para las tareas de asesormiento de seguridad son:

Asesoramiento y Consulta
Formación, concienciación y comunicación
Informe de Seguridad


A partir de aquí, el flujo es similar al de las tareas con validación:

  • Si la USTIC necesita información del solicitante o de cualquier otro usuario, solicitará la misma mediantela acción "Solicitar información", lo que llevará a que la tarea pasae al estado PDTE. INFORMACION asignada a queien debe aportarla. Mediante la acción "Completar información", la tarea volverá al estado inicial, asignada al miembro de la USTIC que hubiera solicitado la información.
  • Es posible paralizar la tarea e informarle una fecha para su reanudación.
  • No podrán crearse subtareas.
  • Cuando la USTIC tiene la información sufiiciente, comenzarála tarea pasando a estado EN RESOLUCION. En este estado, es posible que pueda de nuevo solicitar información o paralizar la tarea, exactamente igual que se hace desde ele satdo ABIERTA.
  • Cuando la USTIC acaba la tarea, la resuelve indicando quien debe validarla.


  • La tarea pasa al estado PDTE. VALIDAR, desde el que el validadorpuede tener dos opciones:
    • Aceptar la resolución de la tarea, con lo que se cerraría
    • No aceptar la resolución de la tarea, lo que la llevaría al estado NO ACEPTADA y se asignaría de nuevo al miembro de la USTIC que la hubiera resuelto la primera vez. Los motivos por los que puede no aceptarse la tarea son


Lo habitual, ya que estas tareas ni se estiman ni la USTIC incurre trabajo que pueda repercutirse al proyecto, es que no se acepte la solcuión técnica. En ese caso (aunque ya hemos dicho que aquí tiene poco sentido). podrá indicarse si al no aceptar la solución técnica podría o no incurrirse trabajo.

La USTIC deberá volver a resolver la tarea cuando haya subsanado los motivos por los que no se aceptó la solución inicialmente dada.

  • Sin etiquetas