Control de versiones del documento

Versión Fecha Creada por Descripción

1.0 Abril 10 de 2014 Héctor Vargas Creación del documento
Estado de los indicadores
Medido Meta
Indicador 1: Nivel de implementación del SGSI – ISO 27002 #DIV/0! 85%
Indicador 2: Compromiso de la alta dirección #DIV/0! 90%
Indicador 3: Incidentes de seguridad #DIV/0! 100%
Indicador 4: Gestión de riesgos #DIV/0! 80%
Indicador 5: Capacitación, entrenamiento y toma de conciencia #DIV/0! 80%
Indicador 6: Seguridad física y ambiental #DIV/0! 85%
Indicador 7: Control de acceso #DIV/0! 85%
Indicador 8: Controles criptográficos #DIV/0! 85%
Indicador 9: Protección contra software malicioso #DIV/0! 85%
Indicador 10: Análisis de vulnerabilidades #DIV/0! 85%
 Indicador 1: Nivel de implementación del SGSI – ISO 27002
Indicador 10: Análisis de vulnerabilidades Indicador 2: Compromiso de la alta dirección
1

0.5
Indicador 9: Protección contra software malicioso Indicador 3: Incidentes de seguridad
Medido
0
Meta
Indicador 8: Controles criptográficos Indicador 4: Gestión de riesgos

Indicador 7: Control de acceso Indicador 5: Capacitación, entrenamiento y toma de conciencia

Indicador 6: Seguridad física y ambiental
ta dirección

seguridad
Medido
Meta
esgos

amiento y toma de conciencia

ID de la métrica
Nombre del indicador
Propósito del indicador

Objetivo de control o controles asociados

Destinatario
Formula
Escala
Nivel para el cumplimiento
Frecuencia de medición
Fuente de datos

Medición
Cantidad de controles selecciondos
Cantidad de controles implementados
Nivel de cumplimiento
1
Nivel de implementación del SGSI – ISO 27002
Conocer el nivel de implementación de los controles de la declaración de
aplicabilidad.
Numeral 4.2 Establecimiento del SGSI
Alta gerencia, líderes del SGSI
controles implementados / Cantidad de controles seleccionados
Porcentaje
85%
Anual
Áreas operativas que implementan, áreas de apoyo como recursos humanos, áreas
jurídicas, gestión documental, dueños y responsables de la información.

Medición

#DIV/0!
ID de la métrica
Nombre del indicador
Propósito del indicador
Objetivo de control o controles
asociados
Destinatario
Formula
Escala
Nivel para el cumplimiento
Frecuencia de medición
Fuente de datos

Medición
Cantidad de reuniones programadas
cantidad reuniones ejecutadas
Nivel de cumplimiento
 2
Compromiso de la alta dirección
Conocer el nivel de compromiso de la alta dirección frente al SGSI
Numeral 5.1 compromiso de la gerencia

Alta dirección, entes auditores

Cantidad de reuniones programadas / cantidad reuniones ejecutadas
Porcentaje
90%
Anual
Actas de comité de la alta gerencia.

Medición

#DIV/0!
ID de la métrica
Nombre del indicador
Propósito del indicador
Objetivo de control o controles asociados

Destinatario

Formula

Escala
Nivel para el cumplimiento
Frecuencia de medición
Fuente de datos

Medición
Cantidad de incidentes de seguridad reportados
cantidad de incidentes de seguridad gestionados
Nivel de cumplimiento
 3
Incidentes de seguridad
Conocer el nivel de gestión de los incidentes de seguridad
Control A.13 Gestión de incidentes de la seguridad de la
información
Áreas operativas, alta gerencia, líderes del SGSI, entes
auditores
Cantidad de incidentes de seguridad reportados / cantidad
de incidentes de seguridad gestionados.
Porcentaje
100%
Trimestral
Sistema de reportes de incidentes, sistemas de monitoreo.

Medición

#DIV/0!
ID de la métrica
Nombre del indicador
Propósito del indicador

Objetivo de control o controles asociados

Destinatario
Formula

Escala
Nivel para el cumplimiento
Frecuencia de medición
Fuente de datos

Medición
Número de procedimientos de riesgos programados
procedimientos de riesgos ejecutados
Nivel de cumplimiento
 4
Gestión de riesgos
Medir el nivel de implementación y ejecución de la
metodología para la gestión de riesgos.
4.1 requerimientos generales.
4.2.1 establecer el SGSI
4.2.2 Implementar y Operar el SGSI
8.3 Acción preventiva
A.6.2.1. Identificación de riesgos de terceras partes
Todas las áreas involucradas
Número de procedimientos de riesgos programados /
procedimientos de riesgos ejecutados
Porcentaje
80%
Anual
Alta gerencia, áreas operativas y de apoyo, incidentes de
seguridad, documentos de riesgos anteriores, fuentes de
riesgos externas.

Medición

#DIV/0!
ID de la métrica
Nombre del indicador
Propósito del indicador
Objetivo de control o controles asociados

Destinatario
Formula

Escala
Nivel para el cumplimiento
Frecuencia de medición
Fuente de datos

Medición
Cantidad de capacitaciones programadas
capacitaciones ejecutadas
Nivel de cumplimiento
 5
Capacitación, entrenamiento y toma de conciencia
Medir el nivel de sensibilidad de los empleados frente al SGSI
5.2.2 Capacitación, conocimiento y capacidad
A.8. Seguridad de los recursos humanos
Gerencia de Talento humano
Cantidad de capacitaciones programadas / capacitaciones
ejecutadas
Porcentaje
80%
Anual
Programa de capacitaciones y entrenamiento.

Medición

#DIV/0!
ID de la métrica
Nombre del indicador
Propósito del indicador

Objetivo de control o controles asociados

Destinatario

Formula

Escala
Nivel para el cumplimiento
Frecuencia de medición
Fuente de datos

Medición
Número de controles propuestos
Número de controles implementados
Nivel de cumplimiento
 6
Seguridad física y ambiental
Conocer el nivel de implementación de los
controles a nivel físico y ambiental de las sedes
y personas
A.9 Seguridad física y ambiental
Área de seguridad física, alta gerencia, entes
auditores
Número de controles propuestos / Número de
controles implementados
Porcentaje
85%
Anual
Área de seguridad física.

Medición

#DIV/0!
ID de la métrica 7
Nombre del indicador Control de acceso
Propósito del indicador Conocer el nivel de implementación del control de
acceso en las redes, sistemas de información y
sitios Web.
Objetivo de control o controles asociados A.10 Gestión de comunicaciones y operaciones
A.11 Control de acceso
A.12 Adquisición, desarrollo y mantenimiento de
sistemas de información.
Destinatario Áreas operativas y de desarrollo.
Formula Número de controles propuestos / Número de
controles implementados
Escala Porcentaje
Nivel para el cumplimiento 85%
Frecuencia de medición Anual
Fuente de datos Entes de auditoría, áreas operativas y de
desarrollo.

Medición
Número de controles propuestos
Número de controles implementados
Nivel de cumplimiento #DIV/0!
ID de la métrica 8
Nombre del indicador Controles criptográficos
Propósito del indicador Conocer el nivel de implementación de los
controles criptográficos y la protección general
sitios Web y el comercio electrónico.
Objetivo de control o controles asociados A.10.9 Servicios de comercio electrónico
A.11 Control de acceso
A.12.3 Controles criptográficos.
Destinatario Áreas operativas y de desarrollo, área de ventas
Formula Controles criptográficos propuestos / controles
implementados
Escala Porcentaje
Nivel para el cumplimiento 85%
Frecuencia de medición Semestral
Fuente de datos Entes de auditoría, áreas de testing.

Medición
Controles criptográficos propuestos
controles implementados
Nivel de cumplimiento #DIV/0!
ID de la métrica
Nombre del indicador
Propósito del indicador
Objetivo de control o controles asociados
Destinatario
Formula

Escala
Nivel para el cumplimiento
Frecuencia de medición
Fuente de datos

Medición
Cantidad de incidentes reportados por software
malicioso
cantidad de ataques detectados y bloqueados.
Nivel de cumplimiento
 9
Protección contra software malicioso
Medir la efectividad del sistema contra código malicioso
A.10.4 Protección contra código malicioso y código móvil.
Administrador del sistema, área de seguridad
Cantidad de incidentes reportados por software
malicioso / cantidad de ataques detectados y bloqueados.
Porcentaje
85%
Mensual
Reportes de incidentes, monitoreo de equipos y
servidores.

Medición

#DIV/0!
ID de la métrica
Nombre del indicador
Propósito del indicador

Objetivo de control o controles asociados

Destinatario
Formula

Escala
Nivel para el cumplimiento
Frecuencia de medición
Fuente de datos

Medición
Cantidad de hallazgos encontrados en los análisis
Cantidad de vulnerabilidades mitigadas
Nivel de cumplimiento
 10
Análisis de vulnerabilidades
Conocer el nivel de seguridad en las aplicaciones y redes
de datos.
A.12.6 Gestión de la vulnerabilidad técnica.
A.13.1 Reportes de eventos y debilidades de la seguridad
de la información
Área de seguridad, área de desarrollo
Cantidad de hallazgos encontrados en los análisis /
Cantidad de vulnerabilidades mitigadas
Porcentaje
85%
Semestral
Reportes de análisis de vulnerabilidades.

Medición

#DIV/0!