Gua de indicadores de gestin

para la seguridad de la informacin

Gua No. 9

1
 HISTORIA

VERSIN FECHA CAMBIOS INTRODUCIDOS

2.0 11/30/2011 Documento del Modelo Anterior

3.0 25/05/2015 Ajustes por Restructuracin del Modelo

2
 TABLA DE CONTENIDO

HISTORIA ................................................................................................................ 2
TABLA DE CONTENIDO ......................................................................................... 3
1. DERECHOS DE AUTOR ............................................................................... 4
2. AUDIENCIA ................................................................................................... 5
3. INTRODUCCIN ........................................................................................... 6
4. OBJETIVO DE LA MEDICION ....................................................................... 7
5. INDICADORES PROPUESTOS .................................................................... 8

3
 1. DERECHOS DE AUTOR

Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de

la Informacin, con derechos reservados por parte del Ministerio de Tecnologas de
la Informacin y las Comunicaciones, a travs de la estrategia de Gobierno en
Lnea.

Todas las referencias a las polticas, definiciones o contenido relacionado,

publicadas en la norma tcnica colombiana NTC ISO/IEC 27001 e ISO 27004
vigente, as como a los anexos con derechos reservados por parte de
ISO/ICONTEC.

4
 2. AUDIENCIA

Entidades pblicas de orden nacional y entidades pblicas del orden territorial, as

como proveedores de servicios de Gobierno en Lnea, y terceros que deseen
adoptar el Modelo de Seguridad y Privacidad de la informacin en el marco de la
Estrategia de Gobierno en Lnea.

5
 3. INTRODUCCIN

En esta gua encontrara una serie de indicadores 1 de gestin que podran ser
utilizados al interior de su entidad para medir la efectividad, eficacia y eficiencia de
la Seguridad de la Informacin dentro de la entidad,

1
Indicador: Relacin entre variables cuantitativas o cualitativas que permiten observar la situacin y las tendencias de cambio
con respecto a objetivos, metas trazadas y resultados esperados.

6
 4. OBJETIVO DE LA MEDICION

La creacin de indicadores de gestin est orientada principalmente en la medicin

de efectividad, eficiencia y eficacia de los componentes de implementacin y gestin
definidos en el modelo de operacin del marco de seguridad y privacidad de la
informacin, indicadores que servirn como insumo para el componente de mejora
continua permitiendo adoptar decisiones de mejora.

Los objetivos de estos procesos de medicin en seguridad de la informacin son:

Evaluar la efectividad de la implementacin de los controles de seguridad

Evaluar la eficiencia del Modelo de Seguridad y Privacidad de la Informacin
al interior de la entidad.
Proveer estados de seguridad que sirvan de gua en las revisiones del
Modelo de Seguridad y Privacidad de la Informacin, facilitando mejoras en
seguridad de la informacin y nuevas entradas a auditar.
Comunicar valores de seguridad al interior de la entidad.
Servir como insumos al plan de anlisis y tratamiento de riesgos.

7
 5. INDICADORES PROPUESTOS

A continuacin se definen una serie de indicadores para medir la gestin 2 y el

cumplimiento3 en el avance de implementacin del Nuevo Modelo de Seguridad y
Privacidad de la Informacin, dichos indicadores son:

INDICADOR 01- ORGANIZACIN DE SEGURIDAD DE LA INFORMACIN.

IDENTIFICADOR SGIN01
DEFINICIN
El indicador permite determinar y hacer seguimiento, al compromiso de la direccin, en cuanto a
seguridad de la informacin, en lo relacionado con la asignacin de personas y responsabilidades
relacionadas a la seguridad de la informacin al interior de la entidad
OBJETIVO
Hacer un seguimiento a la asignacin de recursos y responsabilidades en gestio de seguridad de
la informacin, por parte de la alta direccin.
TIPO DE INDICADOR
Indicador de Gestin
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
Captulo 2 de la gua del
VSI01: Nmero de personas con su
modelo de operacin del
respectivo rol defini segn el modelo de
marco de seguridad y
operacin captulo 2 (VSI01/VSI02)*100
privacidad de la informacin
VSI02: Nmero de personas con su Actas de asignacin de
respectivo rol defini despus de un ao personal.
METAS
75-80%
MNIMA SATISFACTORIA 80- 90% SOBRESALIENTE 100%
OBSERVACIONES
De acuerdo a lo establecido en el captulo 2 de la gua del modelo de operacin del marco de
seguridad y privacidad de la informacin, es necesario crear nuevos cargos y asignar
responsabilidades en los actuales, por lo tanto, el indicador est enfocado, no solo a la
contratacin de nuevas personas, s no a la asignacin de responsabilidades.

INDICADOR 02 - CUBRIMIENTO DEL SGSI EN ACTIVOS DE INFORMACIN.

IDENTIFICADOR SGIN02
DEFINICIN
El indicador permite determinar y hacer seguimiento al cubrimiento que se realiza a nivel de activos
crticos de informacin de una entidad y los controles aplicados.
OBJETIVO
Hacer un seguimiento a la inclusin de nuevos activos crticos de informacin y su control, dentro
del marco de seguridad y privacidad de la informacin.

2
Indicador de Gestin: Los indicadores de gestin estn relacionados con las razones que permiten administrar realmente un
proceso o un sistema.
3
Indicador de Cumplimiento: De cumplimiento estn relacionados con las razones que indican el grado de consecucin de
tareas.

8
 INDICADOR 02 - CUBRIMIENTO DEL SGSI EN ACTIVOS DE INFORMACIN.
TIPO DE INDICADOR
Indicador de Gestin
FUENTE DE
DESCRIPCIN DE VARIABLES FORMULA
INFORMACIN
VSI03: Nmero de activos crticos de
informacin incluidos en el alcance de
Alcance del SGSI, Inventario
implementacin del modelo, incluidos en la
de Activos de informacin,
zona de riesgo inaceptable y la
plan de tratamiento, matriz
implementacin del control no requiere
de riesgos
adquisicin de elementos de hardware o (VSI03/VSI04)*100
software.
VSI04: Nmero de activos crticos de
informacin incluidos en el alcance de Inventario de Activos de
implementacin del modelo; activos informacin, nuevos
incluidos en la zona de riesgo inaceptable.
METAS
80-
MNIMA 75-80% SATISFACTORIA SOBRESALIENTE 100%
90%
OBSERVACIONES
El indicador de cada proceso debe ser recolectado y promediado para construir un indicador que
refleje el estado a nivel empresa.
El termin incluir un activo debe ser entendido como realizar la correcta clasificacin del activo,
tratamiento, evaluacin de riesgos sobre el mismo y determinacin de controles para minimizar el
riesgo calculado. Para este indicador, solo se tienen en cuenta los controles que no implican
adquisicin de hardware o software.

INDICADOR 03 - TRATAMIENTOS DE EVENTOS RELACIONADOS EN MARCO DE

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
IDENTIFICADOR SGIN03
DEFINICIN
El indicador permite determinar la eficiencia en el tratamiento de eventos relacionados la
seguridad de la informacin. Los eventos sern reportados por los usuarios o determinadas en las
auditoras planeadas para el sistema.
OBJETIVO
El objetivo del indicador es reflejar la gestin y evolucin del modelo de seguridad y privacidad
de la informacin al interior de una entidad
TIPO DE INDICADOR
Indicador de Gestin
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN

Auditoras internas,
VSI05: Nmero de anomalas cerradas. (VSI05/VSI06)*100
herramientas de monitoreo

9
 INDICADOR 03 - TRATAMIENTOS DE EVENTOS RELACIONADOS EN MARCO DE
SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN

VSI06: Nmero total de anomalas Auditoras internas,

encontradas. herramientas de monitoreo

METAS
75-
MNIMA SATISFACTORIA 80- 90% SOBRESALIENTE 100%
80%

INDICADOR PLAN DE SENSIBILIZACIN

IDENTIFICADOR SGIN04
DEFINICIN
El indicador permite medir la aplicacin de los temas sensibilizados en seguridad de la informacin
por parte de los usuarios finales. Estas mediciones se podrn realizar por medio de auditoras
especializadas en el tema o de forma aislada por parte de los responsables de la capacitacin y
sensibilizacin.
OBJETIVO
El objetivo del indicador es establecer la efectividad de un plan de capacitacin y sensibilizacin
previamente definido como medio para el control de incidentes de seguridad.
TIPO INDICADOR
Indicador de Gestin
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI07: Nmero de fallas o no Oficial de Seguridad de la
cumplimientos encontrados en las Informacin, auditoras
sensibilizaciones programadas o eventos internas, atencin al usuario,
(VSI07/VSI08)*100
realizados para evaluar el tema. listas de asistencia
Total de funcionarios de la
VSI08: Total de personal a capacitar.
entidad.
METAS
75-
MNIMA 80% SATISFACTORIA 80- 90% SOBRESALIENTE 100%

OBSERVACIONES
Para el levantamiento de la informacin que permita obtener datos para la medicin el responsable
debe idear planes, laboratorios o actividades peridicas que permitan medir lo capacitado o
divulgado.

INDICADOR CUMPLIMIENTO DE POLTICAS DE SEGURIDAD DE LA INFORMACIN EN

LA ENTIDAD
IDENTIFICADOR SGIN05
DEFINICIN
Cumplimiento de polticas de seguridad de la informacin en la entidad
OBJETIVO
Busca identificar el nivel de estructuracin de los procesos de la entidad orientados a la seguridad
de la informacin.
TIPO INDICADOR
Indicador de Cumplimiento

10
 INDICADOR CUMPLIMIENTO DE POLTICAS DE SEGURIDAD DE LA INFORMACIN EN
LA ENTIDAD
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI09: La entidad ha definido una poltica Gua del Modelo de Operacin /
general de seguridad de la informacin? Usuarios Internos
VSI0X = 1
VSI10: La entidad ha definido una (S se
organizacin interna en trminos de personas evidencia)
Gua del Modelo de Operacin /
y responsabilidades con el fin de cumplir las
Usuarios Internos
polticas de seguridad de la informacin y
documenta estas actividades? VSIOX = 0
VSI11: La entidad cumple con los requisitos (NO se
evidencia) Gua del Modelo de Operacin /
legales, reglamentarios y contractuales con
Usuarios Internos
respecto al manejo de la informacin?
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

INDICADOR IDENTIFICACIN DE LINEAMIENTOS DE SEGURIDAD DE LA ENTIDAD

IDENTIFICADOR SGIN06
DEFINICIN
Grado de la seguridad de la informacin y los equipos de cmputo.
OBJETIVO
Busca medir el nivel de preparacin del recurso humano y su apropiacin en cuanto a la seguridad
de la informacin y los equipos de cmputo.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI12: La entidad ha definido lineamientos
de trabajo a travs del comit o responsable VSI0X = 1
de seguridad para que sus funcionarios (S se Usuarios Internos.
cumplan las polticas de seguridad y evala evidencia)
peridicamente su pertinencia?
VSI13: La entidad ha definido lineamientos
en cuanto a la proteccin de las instalaciones VSIOX = 0
fsicas, equipos de cmputo y su entorno para (NO se Usuarios Internos.
evitar accesos no autorizados y minimizar evidencia)
riesgos de la informacin de la entidad?
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

INDICADOR VERIFICACIN DEL CONTROL DE ACCESO

IDENTIFICADOR SGIN07
DEFINICIN
Grado control de acceso en la entidad.
OBJETIVO

11
 INDICADOR VERIFICACIN DEL CONTROL DE ACCESO
Busca identificar la existencia de lineamientos, normas o estndares en cuanto al control de
acceso en la entidad.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI14: La entidad ha definido lineamientos,
normas y/o estndares para controlar el
acceso de los usuarios a sus servicios de Usuarios Internos.
Gobierno en lnea y a sus redes de
comunicaciones?
VSI15: La entidad ha definido lineamientos,
normas y/o estndares para controlar el uso y
el acceso a los sistemas de informacin, las VSI0X = 1
aplicaciones y los depsitos de informacin (S se
con las que cuenta la entidad? evidencia) Usuarios Internos.
VSI16: La entidad ha definido lineamientos, VSIOX = 0
normas y/o estndares para controlar las (NO se
terminales mviles y accesos remotos a los evidencia)
recursos de la entidad?
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

INDICADOR ASEGURAMIENTO EN LA ADQUISICIN Y MANTENIMIENTO DE

SOFTWARE
IDENTIFICADOR SGIN08
DEFINICIN
Grado de proteccin de los servicios de la entidad.
OBJETIVO
Busca identificar la existencia de lineamientos, normas o estndares en cuanto a la adquisicin o
desarrollo de aplicaciones.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI17: La entidad ha definido lineamientos,
normas y/o estndares para el desarrollo o
Usuarios Internos.
adquisicin de software, sistemas y
aplicaciones?

12
 INDICADOR ASEGURAMIENTO EN LA ADQUISICIN Y MANTENIMIENTO DE
SOFTWARE

VSI18: La entidad ha definido lineamientos, VSI0X = 1

normas y/o estndares para la gestin de (S se Usuarios Internos.
incidentes relacionados con el servicio? evidencia)

VSIOX = 0
(NO se
evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

INDICADOR IMPLEMENTACIN DE LOS PROCESOS DE REGISTRO Y AUDITORA

IDENTIFICADOR SGIN09
DEFINICIN
Grado de existencia de lineamientos, normas o estndares en cuanto registro y auditora para la
seguridad de la informacin.
OBJETIVO
Busca identificar la existencia de lineamientos, normas o estndares en cuanto registro y auditora
para la seguridad de la informacin.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI19: La entidad ha definido lineamientos,
normas y/o estndares para el registro y control
Usuarios Internos.
de eventos que sucedan sobre sus sistemas,
redes y servicios?

VSI20: La entidad verifica de manera interna VSI0X = 1

y/o a travs de terceros, peridicamente sus (S se
procesos de seguridad de la informacin y evidencia) Usuarios Internos.
sistemas para asegurar el cumplimiento del
modelo? VSIOX = 0
(NO se
evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

INDICADOR DETECCIN DE ANOMALAS EN LA PRESTACIN DE LOS SERVICIOS DE

LA ENTIDAD
IDENTIFICADOR

13
 INDICADOR IMPLEMENTACIN DE LOS PROCESOS DE REGISTRO Y AUDITORA
DEFINICIN SGIN10
Grado de implementacin de los mecanismos encaminados a la deteccin de anomalas e
irregularidades.
OBJETIVO
Busca medir el nivel de mecanismos encaminados a la deteccin de anomalas e irregularidades
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES
VSI21: VAPRSG005: La entidad ha
implementado mecanismos para detectar
peridicamente vulnerabilidades de seguridad en
el funcionamiento de:

a) su infraestructura,

b) redes, FORMULA FUENTE DE INFORMACIN

c) sistemas de informacin,

d) aplicaciones y/o

e) uso de los servicios?

Usuarios Internos, No
Conformidades

VSI0X = 1
METAS (S se
evidencia)

VSIOX = 0
(NO se
evidencia)
CUMPLE
OBSERVACIONES 1 NO CUMPLE 0

14
 INDICADOR POLTICAS DE PRIVACIDAD Y CONFIDENCIALIDAD
IDENTIFICADOR SGIN11
DEFINICIN
Grado de implementacin de polticas privacidad y confidencialidad de la entidad.
OBJETIVO
Busca identificar el nivel de implementacin de polticas privacidad y confidencialidad de la
entidad.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI22: La entidad ha implementado
lineamientos, normas y/o estndares para
Usuarios Internos.
proteger la informacin personal y privada de
los ciudadanos que utilicen sus servicios?

VSI23: La entidad ha implementado VSI0X = 1

lineamientos, normas y/o estndares para (S se
evidencia) Usuarios Internos.
proteger la informacin privada de las
entidades que utilicen sus servicios?
VSIOX = 0
(NO se
evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

INDICADOR VERIFICACIN DE LAS POLTICAS DE INTEGRIDAD DE LA INFORMACIN

IDENTIFICADOR SGIN12
DEFINICIN
Grado de implementacin de mecanismos para la integridad de la informacin de la entidad.
OBJETIVO
Busca identificar el nivel de implementacin de polticas privacidad y confidencialidad de la
entidad.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI24: La entidad ha implementado VSI0X = 1
lineamientos contra modificacin o prdida (S se Usuarios Internos.
accidental de informacin? evidencia)
VSI25: La entidad ha implementado
lineamientos, normas y/o estndares para
recuperar informacin en caso de VSIOX = 0 Usuarios Internos.
modificacin o prdida intencional o (NO se
accidental? evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

15
INDICADOR VERIFICACIN DE LAS POLTICAS DE INTEGRIDAD DE LA INFORMACIN

INDICADOR POLTICAS DE DISPONIBILIDAD DEL SERVICIO Y LA INFORMACIN

IDENTIFICADOR SGIN13
DEFINICIN
Grado de cumplimiento de las polticas de disponibilidad del servicio y la informacin.
OBJETIVO
Busca identificar el nivel de implementacin de polticas de disponibilidad del servicio y la
informacin.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI26: La entidad verifica que los VSI0X = 1
lineamientos, normas y/o estndares (S se Usuarios Internos.
orientados a la continuidad en la prestacin de evidencia)
los servicios se cumplan?
VSI27: La entidad ha implementado
mecanismos para que los servicios de VSIOX = 0
Gobierno en lnea tengan altos ndices de (NO se Usuarios Internos.
disponibilidad? evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

INDICADOR ATAQUES INFORMTICOS A LA ENTIDAD.

IDENTIFICADOR SGIN14
DEFINICIN
Porcentaje de ataques informticos recibidos en la entidad que impidieron la prestacin de alguno
de sus servicios.
OBJETIVO
Busca conocer el nmero de ataques informticos que recibe la entidad
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI28: Cuntos ataques informticos recibi VSI0X = 1 Herramientas de
la entidad en el ltimo ao? (S se Monitoreo/Usuarios Internos.
evidencia)
VSI29: Cuntos ataques recibi la entidad
en el ltimo ao que impidieron la prestacin Herramientas de
de algunos de los servicios que la entidad VSIOX = 0 Monitoreo/Usuarios Internos.
ofrece a los ciudadanos y empresas? (NO se
evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

16
 INDICADOR PORCENTAJE DE DISPONIBILIDAD DE LOS SERVICIO DE GOBIERNO EN
LNEA QUE PRESTA LA ENTIDAD
IDENTIFICADOR SGIN15
DEFINICIN
Porcentaje de disponibilidad de los servicios que presta la entidad
OBJETIVO
Busca identificar el nivel de disponibilidad del servicio y la informacin.
TIPO INDICADOR
Indicador de Cumplimiento
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI30: La entidad tiene definidos ANS para VSI0X = 1
Usuarios Internos.
los servicios de Gobierno en Lnea que presta (S se
evidencia)
VSI31: Porcentaje de disponibilidad de los
servicio de Gobierno en lnea que presta la VSIOX = 0 Usuarios Internos.
entidad en base a los ANS del punto anterior. (NO se
evidencia)
METAS
CUMPLE 1 NO CUMPLE 0
OBSERVACIONES

INDICADOR PORCENTAJE DE IMPLEMENTACIN DE CONTROLES

IDENTIFICADOR SGIN16
DEFINICIN
grado de avance en la implementacin de controles de seguridad
OBJETIVO
Busca identificar el grado de avance en la implementacin de controles de seguridad
TIPO INDICADOR
Indicador de Gestin
DESCRIPCIN DE VARIABLES FORMULA FUENTE DE INFORMACIN
VSI32: Nmero de Controles
Plan de tratamiento de riesgos
Implementados
(VSI032/VSI33)*100
VSI33: Nmero de Controles que se Plan de Tratamiento de
planearon implementar riesgos.
METAS
75-
MNIMA SATISFACTORIA 80- 90% SOBRESALIENTE 100%
80%

17