Professional Documents
Culture Documents
Gua No. 9
1
HISTORIA
2
TABLA DE CONTENIDO
HISTORIA ................................................................................................................ 2
TABLA DE CONTENIDO ......................................................................................... 3
1. DERECHOS DE AUTOR ............................................................................... 4
2. AUDIENCIA ................................................................................................... 5
3. INTRODUCCIN ........................................................................................... 6
4. OBJETIVO DE LA MEDICION ....................................................................... 7
5. INDICADORES PROPUESTOS .................................................................... 8
3
1. DERECHOS DE AUTOR
4
2. AUDIENCIA
5
3. INTRODUCCIN
En esta gua encontrara una serie de indicadores 1 de gestin que podran ser
utilizados al interior de su entidad para medir la efectividad, eficacia y eficiencia de
la Seguridad de la Informacin dentro de la entidad,
1
Indicador: Relacin entre variables cuantitativas o cualitativas que permiten observar la situacin y las tendencias de cambio
con respecto a objetivos, metas trazadas y resultados esperados.
6
4. OBJETIVO DE LA MEDICION
7
5. INDICADORES PROPUESTOS
2
Indicador de Gestin: Los indicadores de gestin estn relacionados con las razones que permiten administrar realmente un
proceso o un sistema.
3
Indicador de Cumplimiento: De cumplimiento estn relacionados con las razones que indican el grado de consecucin de
tareas.
8
INDICADOR 02 - CUBRIMIENTO DEL SGSI EN ACTIVOS DE INFORMACIN.
TIPO DE INDICADOR
Indicador de Gestin
FUENTE DE
DESCRIPCIN DE VARIABLES FORMULA
INFORMACIN
VSI03: Nmero de activos crticos de
informacin incluidos en el alcance de
Alcance del SGSI, Inventario
implementacin del modelo, incluidos en la
de Activos de informacin,
zona de riesgo inaceptable y la
plan de tratamiento, matriz
implementacin del control no requiere
de riesgos
adquisicin de elementos de hardware o (VSI03/VSI04)*100
software.
VSI04: Nmero de activos crticos de
informacin incluidos en el alcance de Inventario de Activos de
implementacin del modelo; activos informacin, nuevos
incluidos en la zona de riesgo inaceptable.
METAS
80-
MNIMA 75-80% SATISFACTORIA SOBRESALIENTE 100%
90%
OBSERVACIONES
El indicador de cada proceso debe ser recolectado y promediado para construir un indicador que
refleje el estado a nivel empresa.
El termin incluir un activo debe ser entendido como realizar la correcta clasificacin del activo,
tratamiento, evaluacin de riesgos sobre el mismo y determinacin de controles para minimizar el
riesgo calculado. Para este indicador, solo se tienen en cuenta los controles que no implican
adquisicin de hardware o software.
Auditoras internas,
VSI05: Nmero de anomalas cerradas. (VSI05/VSI06)*100
herramientas de monitoreo
9
INDICADOR 03 - TRATAMIENTOS DE EVENTOS RELACIONADOS EN MARCO DE
SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
METAS
75-
MNIMA SATISFACTORIA 80- 90% SOBRESALIENTE 100%
80%
OBSERVACIONES
Para el levantamiento de la informacin que permita obtener datos para la medicin el responsable
debe idear planes, laboratorios o actividades peridicas que permitan medir lo capacitado o
divulgado.
10
INDICADOR CUMPLIMIENTO DE POLTICAS DE SEGURIDAD DE LA INFORMACIN EN
LA ENTIDAD
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI09: La entidad ha definido una poltica Gua del Modelo de Operacin /
general de seguridad de la informacin? Usuarios Internos
VSI0X = 1
VSI10: La entidad ha definido una (S se
organizacin interna en trminos de personas evidencia)
Gua del Modelo de Operacin /
y responsabilidades con el fin de cumplir las
Usuarios Internos
polticas de seguridad de la informacin y
documenta estas actividades? VSIOX = 0
VSI11: La entidad cumple con los requisitos (NO se
evidencia) Gua del Modelo de Operacin /
legales, reglamentarios y contractuales con
Usuarios Internos
respecto al manejo de la informacin?
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES
11
INDICADOR VERIFICACIN DEL CONTROL DE ACCESO
Busca identificar la existencia de lineamientos, normas o estndares en cuanto al control de
acceso en la entidad.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI14: La entidad ha definido lineamientos,
normas y/o estndares para controlar el
acceso de los usuarios a sus servicios de Usuarios Internos.
Gobierno en lnea y a sus redes de
comunicaciones?
VSI15: La entidad ha definido lineamientos,
normas y/o estndares para controlar el uso y
el acceso a los sistemas de informacin, las VSI0X = 1
aplicaciones y los depsitos de informacin (S se
con las que cuenta la entidad? evidencia) Usuarios Internos.
VSI16: La entidad ha definido lineamientos, VSIOX = 0
normas y/o estndares para controlar las (NO se
terminales mviles y accesos remotos a los evidencia)
recursos de la entidad?
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES
12
INDICADOR ASEGURAMIENTO EN LA ADQUISICIN Y MANTENIMIENTO DE
SOFTWARE
VSIOX = 0
(NO se
evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES
13
INDICADOR IMPLEMENTACIN DE LOS PROCESOS DE REGISTRO Y AUDITORA
DEFINICIN SGIN10
Grado de implementacin de los mecanismos encaminados a la deteccin de anomalas e
irregularidades.
OBJETIVO
Busca medir el nivel de mecanismos encaminados a la deteccin de anomalas e irregularidades
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES
VSI21: VAPRSG005: La entidad ha
implementado mecanismos para detectar
peridicamente vulnerabilidades de seguridad en
el funcionamiento de:
a) su infraestructura,
c) sistemas de informacin,
d) aplicaciones y/o
VSI0X = 1
METAS (S se
evidencia)
VSIOX = 0
(NO se
evidencia)
CUMPLE
OBSERVACIONES 1 NO CUMPLE 0
14
INDICADOR POLTICAS DE PRIVACIDAD Y CONFIDENCIALIDAD
IDENTIFICADOR SGIN11
DEFINICIN
Grado de implementacin de polticas privacidad y confidencialidad de la entidad.
OBJETIVO
Busca identificar el nivel de implementacin de polticas privacidad y confidencialidad de la
entidad.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI22: La entidad ha implementado
lineamientos, normas y/o estndares para
Usuarios Internos.
proteger la informacin personal y privada de
los ciudadanos que utilicen sus servicios?
15
INDICADOR VERIFICACIN DE LAS POLTICAS DE INTEGRIDAD DE LA INFORMACIN
16
INDICADOR PORCENTAJE DE DISPONIBILIDAD DE LOS SERVICIO DE GOBIERNO EN
LNEA QUE PRESTA LA ENTIDAD
IDENTIFICADOR SGIN15
DEFINICIN
Porcentaje de disponibilidad de los servicios que presta la entidad
OBJETIVO
Busca identificar el nivel de disponibilidad del servicio y la informacin.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI30: La entidad tiene definidos ANS para VSI0X = 1
Usuarios Internos.
los servicios de Gobierno en Lnea que presta (S se
evidencia)
VSI31: Porcentaje de disponibilidad de los
servicio de Gobierno en lnea que presta la VSIOX = 0 Usuarios Internos.
entidad en base a los ANS del punto anterior. (NO se
evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES
17