SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DESCRIPCIÓN DE ÍNDICES E INDICADORES DE

SEGURIDAD DE LA INFORMACION

CRITERIOS PARA LA
DEFINICIÓN DE METRICAS E
INDICADORES

CRITERIOS DE EVALUACIÓN
DEL INDICADOR

OBJETIVOS DE LOS
INDICADORES E ÍNDICES

RESPONSABLES DE
EVALUAR LOS INDICADORES
E ÍNDICES
 RESPONSABLES DE
EVALUAR LOS INDICADORES
E ÍNDICES
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
DESCRIPCIÓN DE ÍNDICES E INDICADORES DE
SEGURIDAD DE LA INFORMACION

El éxito de un SGSI, se basa en la asistencia o ayuda que las mediciones aporten para la toma
de decisiones, o determinar la eficacia de los controles de seguridad. Las métricas e
indicadores para ser válidos, deben cumplir con los siguientes criterios:

Estratégico: Alineado con la estrategia y misión de seguridad de la información.

Cuantitativo: Datos numéricos o empíricos, más que opiniones.
Razonable: El valor del dato recolectado no debería ser mayor al coste de recolectarlo.
Verificable: Cualquier revisión por parte de un tercero, debería ser capaz de valorar el dato y
obtener resultados.
Usable: Los resultados deberían apoyar la toma de decisiones.
Indivisible: Los datos deberían ser recolectados al más bajo nivel de desagregación posible.
Bien definido: Bien documentadas sus características como frecuencia, fórmula, evidencia e
indicadores

El indicador se encuentra entre los niveles ideal y normal, requiere monitoreo

El indicador se encuentra "En tratamiento".Por tanto se encuentra en proceso de implementación dentro

de la compañía.

El indicador se encuentra en nivel de alerta y requiere acciones en el corto plazo

* Garantizan el cumplimiento de los objetivos de la coporación

* Promueven el mejoramiento continuo del SGSI y de la labor propia en la Universidad Libre

* Establecen criterios definidos de evaluación.

* Evalúan de manera periódica y permanente la gestión de las actividades establecidas para

garantizar la confidencialidad, integridad y disponibilidad de la información en la entidad.

Los indicadores deberán estar alineados con los objetivos del Sistema de Gestión de Seguridad
de la Información y éstos a su vez con la Política de Seguridad de la entidad.
* Alta Dirección

* Propietario del proceso en la Universidad Libre

* Oficial de seguridad de la entidad ó quien haga sus veces.

* Demás funcionarios y/o Comité de Seguridad de la información o comité que lo adopte.

 Código:

INDICADORES PARA LA EVALUACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BAJO LA NORMA ISO/IEC Versión
27001:2013
Fecha:

Nombre del Numeral/Anexo A de la norma Cálculo del Meta

Tipo de Indicador Objetivo del SGSI asociado Fórmula Frecuencia Observaciones
Indicador ISO 27001:2013 asociado indicador Ideal Tratamiento Alerta
Medición de los Objetivos del Sistema de Gestión de Seguridad de la Información (SGSI)
1. Gestionar los riesgos de seguridad de la información
Tratamiento de 6.1.3. Tratamiento de riesgos
que puedan afectar la confidencialidad, integridad y (# de riesgos del SGSI tratados con controles/ Se busca determinar la adecuada gestión
Riesgos de Seguridad Eficacia de la seguridad de la 81% 100% 80% <60% Trimestral
de la Información disponibilidad de los activos de información críticos para Total riesgos del SGSI definidos)* 100 de riesgos de seguridad en la compañía
información
la Universidad.

(# de jornadas de sensibilización realizadas / Asegurar la sensibilización hacia la

Eficacia 2. Sensibilizar al personal (Funcionarios, Contratistas, Total de jornadas de Sensibilización planeadas) 80% 100% 80% <60% Anual protección de la información en la
7.3. Toma de conciencia Estudiantes) en temas relacionados con seguridad de la *100 compañía.
Administración Cultura
A.7.2.2. Toma de conciencia, información, logrando la apropiación de la cultura de
de Seguridad de la
Información educación y formación en la seguridad al interior de la corporación, reflejado en el
seguridad de la información nivel de cumplimiento de políticas, procedimientos y Asegurar la sensibilización hacia la
demás controles establecidos dentro del SGSI (Número de Asistentes Reales / Total de
Eficacia 100% 100% 80% <60% Semestral protección de la información en la
Asistentes programados) *100
compañía.

Incidentes de 3. Gestionar los incidentes de seguridad de la El objetivo es determinar en un primera

seguridad de la A.16 Gestión de incidentes de información generando, documentando y aplicando las (#Incidentes de seguridad de la información etapa cual es el la tasa de resolución
Eficacia 79% 100% 80% <60% Mensual
información atendidos seguridad de la información lecciones aprendidas, con el fin de reducir la atendidos / Total de incidentes reportados)*100 efectiva para los incidentes reportados en
oportunamente probabilidad o el impacto de incidentes futuros un determinado periodo.
4. Mejorar continuamente el desempeño del Sistema de
Gestión de Seguridad de la Información – SGSI,
mediante la implementación de acciones correctivas (# de acciones correctivas y de mejora Establecer el grado de cumplimiento en los
Mejoramiento eficaces, auditorías internas y revisiones al Sistema de gestionadas / Total de acciones correctivas y de
Continuo
Eficacia 10. Mejora 71% 100% 80% <60% Semestral cierres de las acciones correctivas que se
Gestión en intervalos planificados de acuerdo al mejora identificadas y registradas) * 100 derivan de las revisiones del SGSI.
Programa de Auditoria de la Universidad.

5. Proveer los recursos financieros, humanos y de ((#. De solicitudes de recursos para el mantenimiento
infraestructura, requeridos para mantener el Sistema de del SGSI gestionados por la Dirección General) / (# Permite determinar el porcentaje de recursos
Gestión de Recursos Eficacia 7.1 Recursos
Gestión de Seguridad de la Información – SGSI en la De Solicitudes de recursos para el mantenimiento de
0% 100% 80% <60% Semestral gestionados para el SGSI
Universidad Libre. SGSI realizadas)) * 100

Página 8 de 8