INDICADOR 01- PLAN DE SENSIBILIZACIÓN.

IDENTIFICADOR IND-SI-01
FRECUENCIA DE MEDICION Recolección – Mensual / Revisión – Trimestral
RESPONSABLE Líder SGSI
DEFINICIÓN
El indicador permite medir la aplicación de los temas sensibilizados en seguridad de
la información por parte de los usuarios finales. Estas mediciones se podrán realizar
por medio de auditorías especializadas en el tema o de forma aislada por parte de
los responsables de la capacitación y sensibilización.
OBJETIVO
El objetivo del indicador es establecer la efectividad de un plan de capacitación y
sensibilización previamente definido como medio para el control de incidentes de
seguridad.
TIPO DE INDICADOR
Indicador Estratégico
FUENTE DE
DESCRIPCIÓN DE VARIABLES FORMULA
INFORMACIÓN
Oficial de Seguridad de
la
V1: Número de fallas o no
Información, auditorías
cumplimientos encontrados en las
internas, atención al
sensibilizaciones programadas. (V1/V2)*100
usuario,
listas de asistencia
Total de funcionarios de
V2: Total de personal a capacitar
la entidad.
METAS
MÍNIM
75 - 80% SATISFACTORIA 80- 90% SOBRESALIENTE 100%
A
OBSERVACIONES
Para el levantamiento de la información que permita obtener datos para la medición,
el responsable debe idear planes, laboratorios o actividades periódicas que permitan
medir lo capacitado o divulgado.
1. Indicador Estratégico
 INDICADOR 02- PROTECCIÓN CONTRA CODIGO MALICIOSO.
IDENTIFICADOR IND-SI-02
FRECUENCIA DE MEDICION Recolección – Mensual / Revisión – Trimestral
RESPONSABLE Oficial del SGSI
DEFINICIÓN
El indicador permite medir la efectividad de los controles de seguridad para la
protección ante un código malicioso.
OBJETIVO
El objetivo del indicador es analizar la efectividad en la gestión de los controles de
seguridad para la detección de código malicioso con el fin de proteger la integridad
del software y la información de la entidad.
TIPO DE INDICADOR
Indicador Operacional
DESCRIPCIÓN DE VARIABLES FORMULA FUENTE DE
INFORMACIÓN
V1: Cantidad de incidentes Reportes de incidentes,
reportados por infección de código monitoreo de equipos,
malicioso servidores y de red.
(V1/V2)*100
Reportes de incidentes,
V2: cantidad de ataques
monitoreo de equipos,
detectados y bloqueados
servidores y de red.
METAS
MÍNIM
75 - 80% SATISFACTORIA 80- 90% SOBRESALIENTE 100%
A
OBSERVACIONES
Los controles están alineados a la política de seguridad de la información en cuanto
a la definición de medidas de prevención, detección y corrección frente a las
amenazas causadas por códigos maliciosos.
2. Indicador Operacional
 3. Indicador Táctico

INDICADOR 03- PORCENTAJE DE IMPLEMENTACIÓN DE CONTROLES DE

RIESGOS DE SEGURIDAD DE LA INFORMACION.
IDENTIFICADOR IND-SI-03
FRECUENCIA DE MEDICION Recolección – Mensual / Revisión – Trimestral
RESPONSABLE Líder SGSI
DEFINICIÓN
Medir el nivel de implementación y ejecución de la gestión de riesgos de la
seguridad de la información.
OBJETIVO
Busca identificar el grado de avance en la implementación de controles en la gestión
del riesgo de la seguridad de la información, con el fin de eliminar o reducir el
impacto u ocurrencia de riesgos probables que podrían afectar los activos de
información.
TIPO DE INDICADOR
Indicador Táctico
FUENTE DE
DESCRIPCIÓN DE VARIABLES FORMULA
INFORMACIÓN
V1: Número de controles de Documentos del
Gestión de Riesgos esquema de Gestión de
Implementados. Riesgos
(V1/V2)*100
V2: Número de Controles de
Documentos del plan de
Gestión de Riesgos que se
Tratamiento de Riesgos
planearon implementar
METAS
MÍNIM
75 - 80% SATISFACTORIA 80- 90% SOBRESALIENTE 100%
A
OBSERVACIONES
El plan de tratamiento de riesgos de seguridad de la información está conformado
por diferentes componentes importantes: Agente de amenaza, Vulnerabilidad,
Resultados, Análisis e Impacto de todos los activos de información de la entidad

CONCLUSION
Diseñar un Sistema de Gestión de Seguridad de la información basado en el modelo
de mejoras prácticas y lineamientos de seguridad, como es la norma ISO/IEC
27001:2013, es de gran importancia para la planeación, diseño, implementación y
mantenimiento de procesos estructurados que permitirán gestionar de manera
eficiente y eficaz la accesibilidad de la información, garantizando la integridad,
confidencialidad y disponibilidad de todos los activos de formación que administra la
ADRES y minimizando a su vez los riesgos de seguridad de la información, con el fin
de optimizar los recursos, ahorro de costos y brindar mejora continua que permitirá a
la entidad, alcanzar los objetivos y metas planteadas.
Es muy importante contar siempre con el apoyo y aprobación de la alta dirección de la
entidad ya que es indispensable para poder concebir un modelo de Seguridad de la
Información que apoye y apalanque la misión y visión junto con los objetivos
estratégicos de la entidad.
La Clasificación y valoración de los activos de información a través de los lineamientos
de la norma ISO/IEC 27001:2013, permitirá a la ADRES comprender y analizar cada
activo de acuerdo al uso adecuado y el nivel de criticidad para que la entidad pueda
ubicar dentro de una escala cualitativa, el valor y rango de criticidad a la que están
expuestos.
El SGSI a través de la norma ISO/IEC 27001:2013 es de gran importancia para el
análisis y determinación de los riesgos, amenazas y vulnerabilidades a las que está
expuesta la seguridad de la información de la ADRES, esto con el fin de planear una
serie de estrategias más adecuadas para para dar tratamiento a estos riesgos y
preservar la continuidad del negocio.
El éxito del sistema de Gestión de seguridad de la información siempre dependerá del
compromiso de las partes internas y externas interesadas de la ADRES, por lo que
periódicamente se debe realizar planes de sensibilización y capacitación, logrando así
la participación y concientización de cada personal integra la entidad.