Documentos de Académico
Documentos de Profesional
Documentos de Cultura
cl)
Pedido de tienda ISO: OP-485221 / Descargado: 2020-12-01
Solo licencia de usuario único, se prohíbe la copia y la creación de redes.
ISO/IEC 27004:2016(E)
Anexo B
(informativo)
B.1 Generalidades
Los ejemplos del Anexo B siguen los principios establecidos en este documento. La siguiente tabla asigna
ejemplos de construcciones de medición a cláusulas específicas o números de objetivos de control en
ISO/IEC 27001:2013.
Para cada ejemplo se incluye una referencia cruzada de la relación con las cláusulas o números de objetivos
de control en ISO/IEC 27001:2013. Además, para dos ejemplos (B.20 y B.28) se incluye un descriptor de
información adicional denominado “acción”. Esto define la acción a tomar en caso de que no se cumpla el
objetivo. Las organizaciones pueden incluir este descriptor de información si lo consideran útil. De hecho, no
existe una forma única de especificar tales construcciones de medición y el Anexo C demuestra un enfoque
alternativo de forma libre.
Objetivo 1
Frecuencia Anual
Formato de informe Diagrama de radar con una categoría de recurso para cada eje y la doble indicación de recursos asignados y
utilizados
Fórmula/puntuación Número de políticas de seguridad de la información que fueron revisadas en el año anterior/
Número de políticas de seguridad de la información implementadas * 100
Evidencia de implementación Historial del documento que menciona revisión del documento o lista de documentos que indica
fecha de la última revisión
Frecuencia Recopilar: después del intervalo planificado definido para las revisiones (por ejemplo, anualmente o después de cambios
significativos)
Responsables Propietario de la información: Propietario de la política que tiene la responsabilidad administrativa aprobada para
el desarrollo, revisión y evaluación de la política.
Formato de informe Gráfico circular para la situación actual y gráfico de líneas para la representación de la evolución del cumplimiento
Fórmula/puntuación a) Dividir [reuniones de revisión de la dirección realizadas] entre [ reuniones de revisión de la dirección programadas]
b) Calcular la media y la desviación estándar de todas las tasas de participación en las reuniones de revisión de la
gestión
Objetivo La relación resultante del indicador a) debe estar entre 0,7 y 1,1 para concluir el logro del objetivo de control y
ninguna acción. Incluso si falla, debe estar por encima de 0,5 para concluir el menor logro. Con respecto al indicador
b), los límites de confianza calculados basados en la desviación estándar indican la probabilidad de que se logre
un resultado real cercano a la tasa de participación promedio. Los límites de confianza muy amplios sugieren una
desviación potencialmente grande y la necesidad de una planificación de contingencia para hacer frente a este
resultado.
Evidencia de implementación 1.1 Conteo de reuniones de revisión de gestión programadas hasta la fecha
1.2 Por reuniones de revisión de gestión hasta la fecha, cuente a los gerentes que tenían previsto asistir y agregue
una nueva entrada con un valor predeterminado para reuniones no planificadas realizadas de manera ad hoc
2.1.3 Recuento de las reuniones de revisión de la dirección reprogramadas celebradas hasta la fecha
2.2 Para todas las reuniones de revisión de la gestión que se realizaron, cuente el número de gerentes que asistieron
Análisis: Trimestral
Informe: Trimestral
Responsables Propietario de la información: Gerente del sistema de calidad (asumiendo un sistema de gestión combinado de
QMS e ISMS)
Formato de informe Gráfico de líneas que representa el indicador con criterios sobre varios períodos de recopilación
de datos y de informes con la declaración de los resultados de la medición. La organización
debe definir el número de períodos de recopilación de datos y de informes.
Fórmula/puntuación a) Se debe definir el umbral para riesgos altos y medios y se debe alertar a las partes responsables si se supera
el umbral.
Objetivo 1
SÓLO
Relación PREPÁRESEISO/IEC
PARA LOS ACABADOS
27001:2013, 8.2: Evaluación de ACADÉMICOS
riesgos de seguridad de la información
Objetivo >95%
Frecuencia Anual
Formato de informe Gráfico de tendencia que vincula la proporción de auditorías completadas con el programa para cada año de la
muestra
Las acciones deben ser las planificadas (es decir, abiertas, en espera y en curso) al comienzo del período de
tiempo.
Objetivo 90%
Frecuencia Trimestral
Formato de informe Lista de todas las acciones relevantes y su estado (tiempo real, costos y pronóstico de calidad frente a los
planificados) con el porcentaje de acciones a tiempo, costos y calidad frente al número relevante de acciones
en el marco de tiempo
SÓLO
Relación PREPÁRESEISO/IEC
PARA LOS ACABADOS
27001:2013, ACADÉMICOS
Cláusula 10: Mejora
Tenga en cuenta que esta medida puede mejorarse al ponderar cada acción considerando su criticidad (por ejemplo,
acciones que abordan riesgos altos).
Una lista de todas las acciones relevantes debe ir junto con el resultado sintético, de modo que una gran cantidad de
acciones no críticas pero dentro de los límites aceptables no oculte una cantidad baja de acciones críticas fuera de los
límites aceptables.
Evidencia de implementación Recopilación sistemática de costos por cada incidente de seguridad de la información
Frecuencia Trimestral
Formato de informe Gráfico de columnas que muestra los costos de los incidentes de seguridad de la información para este período de
muestreo y los anteriores.
— costo promedio de cada incidente de seguridad de la información para cada categoría de incidentes de seguridad
de la información (las categorías deben definirse previamente).
Formato de informe Gráfico de columnas que muestra los costos de los incidentes de seguridad de la información para este período de
muestreo y los anteriores.
Fórmula/puntuación a) Dividir [Medida correctiva no implementada a la fecha] por [Medidas correctivas planeadas a la fecha]
Objetivo Para concluir el logro del objetivo y la no acción, las proporciones del indicador a) y b) deben estar
respectivamente entre 0,4 y 0,0 y entre 0,2 y 0,0, y la tendencia del indicador c) debe haber sido decreciente
durante los últimos 2 informes. periodos de aprendizaje. El indicador c) debe presentarse en comparación con
indicadores anteriores para que se pueda examinar la tendencia en la implementación de acciones correctivas.
Evidencia de implementación 1. Contar las acciones correctivas planificadas a implementar hasta la fecha
2. Cuente las acciones correctivas registradas como implementadas por fecha de vencimiento
3. Contar las acciones correctivas registradas como acciones planificadas no realizadas con el motivo
Informe: Trimestral
Formato de informe Gráfico de barras apiladas con la declaración de los resultados de la medición, incluido un resumen ejecutivo
de los hallazgos y las posibles acciones de gestión, que representa el número total de acciones correctivas,
separadas en implementadas, no implementadas sin una razón legítima y no implementadas con una razón
legítima.
Fórmula/puntuación I1 = [Número de empleados que recibieron capacitación en SGSI/Número de empleados que deben recibir
capacitación en SGSI] * 100
I2 = [Número de empleados que renovaron su formación SGSI en el último año / número de empleados en el
alcance] * 100
de lo contrario rojo
Rojo: se requiere intervención, se debe realizar un análisis de causalidad para determinar las razones del
incumplimiento y el desempeño deficiente
Amarillo: se debe vigilar de cerca el indicador para detectar un posible deslizamiento a rojo
Evidencia de implementación Listas de participación de todos los entrenamientos de concientización; Recuento de registros/registros con relleno de
campo/fila de entrenamiento de SGSI como "Recibido"
Informe: Trimestral
Formato de informe Gráfico de barras con barras codificadas por colores según el objetivo. Breve resumen de lo que la medida
Los medios y las posibles acciones de gestión deben adjuntarse al gráfico de barras.
Gráfico circular para la situación actual y gráfico de líneas para la representación de la evolución del cumplimiento.
Medida Porcentaje del personal que recibió capacitación anual de concientización sobre seguridad de la información
Fórmula/puntuación [Número de empleados que recibieron capacitación anual de concientización sobre seguridad de la información/
número de empleados que necesitan recibir capacitación anual de concientización sobre seguridad de la
información] * 100
Objetivo 0-60% - Rojo; 60-90% - Amarillo; 90-100% Verde. Para amarillo, si no se logra un progreso de al menos el 10%
por trimestre, la calificación es automáticamente roja.
Rojo: se requiere intervención, se debe realizar un análisis de causalidad para determinar las razones del
incumplimiento y el desempeño deficiente.
Amarillo: el indicador debe observarse de cerca para detectar un posible deslizamiento a rojo.
Evidencia de implementación Recuento de bitácoras/registros con campo de capacitación anual de concientización sobre seguridad de la información/
relleno de fila como "Recibido"
Análisis: Trimestral
Informe: Trimestral
Formato de informe Gráfico de barras con barras codificadas por colores según el objetivo. Se debe adjuntar al
gráfico de barras un breve resumen de lo que significa la medida y las posibles acciones de gestión.
Fórmula/puntuación Obtenga el "progreso hasta la fecha" agregando el estado de todo el personal que haya firmado, planificado para
completarse hasta la fecha
Derivar el "progreso hasta la fecha con la firma" dividiendo el personal que ha firmado hasta la fecha por el
personal que planea firmar hasta la fecha
a) [dividir el progreso hasta la fecha por (personal planificado hasta la fecha multiplicado por 100)] y el progreso
hasta la fecha con la firma
Objetivo a) Los índices resultantes deben estar respectivamente entre 0,9 y 1,1 y entre 0,99 y 1,01 para concluir el logro
del objetivo de control y la no acción; y
Evidencia de implementación 1.1. Cuente el número de personas programadas para haber firmado y completado el
entrenamiento hasta la fecha
1.2. Pregunte a la persona responsable por el porcentaje del personal que completó la capacitación y firmó
Análisis: Trimestral
Informe: Trimestral
Fuente de datos 1.1. Plan/calendario de capacitación en concientización sobre seguridad de la información: Personal identificado en el plan
1.2 Personal que ha completado o está en curso de formación: Estado del personal con respecto a la formación
Fórmula/puntuación Elija un número determinado de empleados que fueron el objetivo de una campaña de concientización y
permítales completar una breve prueba de conocimiento sobre los temas de la campaña de concientización
Objetivo Verde: 90-100 % de las personas aprobaron la prueba, Naranja: 60-90 % de las personas aprobaron la prueba,
Rojo: <60 % de las personas aprobaron la prueba
Formato de informe Gráfico circular para representar el porcentaje de miembros del personal que pasaron la situación de prueba y
Fórmula/puntuación a = Número de empleados que han hecho clic en el enlace/número de empleados que participan en la prueba
b = 1-Número de empleados que informaron el correo electrónico peligroso a través de los canales apropiados
c = Número de miembros del personal que han seguido las instrucciones dadas al hacer clic en el enlace, es decir,
comienzan a revelar una contraseña/número de miembros del personal que participan
d = Una suma ponderada apropiada del parámetro anterior, dependiendo de la naturaleza de la prueba
Evidencia de implementación Recuento de actividad en un comando y control simulado direccionado por el enlace. Tenga cuidado de respetar los
aspectos de privacidad del personal y de anonimizar los datos para que las pruebas
los participantes no tienen que temer las consecuencias negativas de esta prueba.
Frecuencia Recolectar: de mensual a anual, dependiendo de la criticidad de los ataques de ingeniería social
Fuente de datos Lista del personal, o usuarios de un determinado servicio; Apoyo a la sensibilización, comunicación (correo electrónico
o intranet)
Formato de informe Informe de prueba que indica los detalles de la prueba, las mediciones, el análisis de los resultados y
recomendación, basada en el objetivo y el tratamiento acordado
ÿ de [Número total de contraseñas que cumplen con la política de calidad de contraseñas de la organización para cada
usuario]
c) Dividir [Número total de contraseñas que cumplieron con la política de calidad de contraseñas de la organización]
por [Número de contraseñas registradas]
Objetivo Se logra el objetivo de control y no se requiere ninguna acción si la proporción resultante es superior a 0,9. Si la
relación resultante está entre 0,8 y 0,9, no se logra el objetivo de control, pero la tendencia positiva indica una mejora.
Si la relación resultante es inferior a 0,8
SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS
se debe tomar acción inmediata.
Formato de informe Línea de tendencia que representa la cantidad de contraseñas que cumplen con la política de calidad de contraseñas
de la organización, superpuesta con líneas de tendencia producidas durante períodos de informes anteriores.
Objetivo Se logra el objetivo de control y no se requiere ninguna acción si la proporción resultante es superior a 0,9. Si la
relación resultante está entre 0,8 y 0,9, no se logra el objetivo de control, pero la tendencia positiva indica una
mejora. Si la relación resultante es inferior a 0,8
se debe tomar acción inmediata.
2 Ejecute el descifrador de contraseñas en los registros de cuentas del sistema de los empleados mediante un ataque híbrido
Análisis: Semanal
Informe: Semanal
SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS
Revisión de mediciones: Revisar y actualizar cada año
Formato de informe Línea de tendencia que representa la capacidad de descifrado de contraseñas para todos los registros probados
superpuestos con líneas producidas durante pruebas anteriores.
Medida Porcentaje de sistemas críticos donde los derechos de acceso de los usuarios se revisan periódicamente
Fórmula/puntuación [Número de sistemas de información clasificados como críticos donde se realizan revisiones periódicas de
derechos de acceso /Número total de sistemas de información clasificados como críticos] * 100
Evidencia de implementación Pruebas de revisiones (por ejemplo, correo electrónico, boleto en el sistema de emisión de boletos, finalización de revisión de
prueba de fórmula)
Frecuencia Recolectar: después de cualquier cambio, como promoción, descenso o terminación del empleo.
Formato de informe Gráfico circular para la situación actual y gráfico de líneas para la representación de la evolución del cumplimiento
Relación ISO/IEC 27001:2013, A.9.2.5: Revisión de los derechos de acceso de los usuarios
SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS
1 Hay un sistema de acceso donde se utiliza el código PIN (sistema de un factor) para el
control de entrada
2 Existe un sistema de tarjeta de control de acceso en el que se utiliza una tarjeta de paso (sistema de un
factor) para el control de entrada
3 Existe un sistema de tarjeta de acceso en el que se utiliza la tarjeta de paso y el código PIN para
el control de entrada
Evidencia de implementación Evaluación cualitativa en la que cada calificación de subconjunto es una parte de la calificación anterior.
Controle el tipo de sistema de control de entrada e inspeccione los siguientes aspectos:
— Funcionalidad de registro
- Autenticación biométrica
Análisis: Anual
Informe: Anual
2. Integrar mecanismos de protección de seguridad física y de la información para garantizar la protección adecuada de
los recursos de información de la organización.
Medida Número de entradas no autorizadas a instalaciones que contienen sistemas de información (subconjunto de incidentes
de seguridad física)
Fórmula/puntuación Número actual de incidentes de seguridad física que permiten la entrada no autorizada a instalaciones que contienen
sistemas de información/valor anterior
(Tenga en cuenta que estas medidas deben tener en cuenta el contexto específico de la organización , como el número
total de incidentes de seguridad física)
Evidencia de implementación Análisis sistemático de informes de incidentes de seguridad física y registros de control de acceso
SÓLO PREPÁRESERegistros
PARA LOS
de control ACABADOS
de acceso físico ACADÉMICOS
Formato de informe Gráfico que muestra la tendencia de ingreso no autorizado a las instalaciones que contienen sistemas de información
para los períodos de muestreo más recientes
Acción Revisar y mejorar los controles de seguridad física aplicados a los sistemas de información.
Para cada evento completado, reste [Fecha del mantenimiento real] de [Fecha del mantenimiento
Fórmula/puntuación
programado]
Cobro: trimestral
Frecuencia
Informe: anual
Gráfico de líneas que representa la desviación promedio de la demora de mantenimiento, superpuesta con
líneas producidas durante períodos de informes anteriores y el número de sistemas dentro del alcance
Formato
Una explicación de los hallazgos y recomendaciones para una posible acción de manejo
Medida Porcentaje de nuevos sistemas instalados que se respetaron las mejores prácticas de gestión de cambios y la
política de fortalecimiento
Fórmula/puntuación Número de aplicaciones o sistemas recién instalados en los que se dispone de evidencias de respeto de las
mejores prácticas de gestión de cambios/número de aplicaciones recién instaladas
Objetivo Todos los sistemas deben seguir las pautas de gestión de cambios.
Evidencia de implementación Sistema de tickets, correos electrónicos, informes, lista de verificación utilizada para la configuración
Formato de informe Gráfico circular para la situación actual y gráfico de líneas para la representación de la evolución del cumplimiento
Fórmula/puntuación Número de incidentes de seguridad causados por software malicioso/número de ataques detectados y bloqueados
causados por software malicioso
Objetivo La línea de tendencia debe permanecer por debajo de la referencia especificada, lo que da como resultado una tendencia
a la baja o constante
Análisis: Mensual
Informe: Mensual
recopilador de información
cliente de medición
SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS
Fuente de datos 1 Informes de incidentes
Formato de informe Línea de tendencia que representa la proporción de detección y prevención de software malicioso con las líneas
producidas durante períodos de informes anteriores
NOTA Las organizaciones que adopten esta medida deben considerar los siguientes aspectos que pueden conducir a un análisis incorrecto de dicha medida:
— el “número de ataques detectados y bloqueados causados por software malicioso” puede ser muy alto; por lo tanto, tal
medida puede resultar en proporciones muy pequeñas;
B.24 Antimalware
Medida Porcentaje de sistemas afectados por malware conectados a la red de la organización con firmas antimalware
obsoletas (por ejemplo, más de una semana)
Evidencia de implementación Monitoreo de actividades antivirus en cada sistema afectado por malware
Frecuencia Diariamente
Consola antimalware
Formato de informe Números por clases de sistema (estaciones de trabajo, servidores, o/s)
Medida Para cada servicio de TI, la disponibilidad de extremo a extremo se compara con la disponibilidad máxima (es decir,
excluyendo las ventanas de tiempo de inactividad definidas anteriormente)
Frecuencia Mensual
Fórmula/puntuación Recuento de reglas de cortafuegos fronterizo que se han utilizado 0 veces en el último período de muestreo
Objetivo 0
Formato de informe Recuento o lista de reglas de firewall no utilizadas que se marcarán para su revisión y posible eliminación
Fórmula/puntuación [# de archivos de registro revisados dentro del período de tiempo especificado/# total de archivos de registro]*100
Objetivo El resultado por debajo del 20 % debe examinarse en busca de causas de bajo rendimiento
Evidencia de implementación Sume el número total de archivos de registro enumerados en la lista de registro de revisión
Frecuencia Recolección: Mensual (dependiendo de la criticidad, podría pasar a diario o en tiempo real)
Informe: Trimestral
Formato de informe Gráfico de líneas que representa la tendencia con un resumen de los hallazgos y cualquier acción de gestión sugerida
(la cantidad total de dispositivos es específica de la organización y puede incluir todos y cada uno de los siguientes:
dispositivos registrados en la base de datos de administración de configuración, dispositivos encontrados pero no
registrados en la base de datos de administración de configuración, dispositivos que ejecutan un sistema operativo/
versión específico, dispositivos móviles, etc. )
Objetivo 100%
Fuente de datos Tablero de control de configuración; base de datos de inventario; herramientas de escaneo
Formato de informe Gráfico de líneas para tendencias, hosts vulnerables por nombre
Acción Desconecte los dispositivos no aprobados de la red; parchear dispositivos no compatibles; revisar y revisar, según
Fórmula/puntuación [Número de sistemas de información cuantificados como críticos y donde se ha realizado una
prueba de penetración o evaluación de vulnerabilidad desde su último lanzamiento importante/
Número de sistemas de información cuantificados como críticos] * 100, por ejemplo, Verde: 100 %, Naranja >=75
%, Rojo <75 %
Recolector de información: expertos con el conocimiento para realizar pruebas de penetración o ejecutar
evaluaciones de vulnerabilidad
Formato de informe Gráfico circular para la situación actual y gráfico de líneas para la representación de la evolución del cumplimiento
Fórmula/puntuación Valor de gravedad de vulnerabilidad abierta (p. ej., CVSS) * número de sistemas afectados
Formato de informe Valores de puntuación agregados para sistemas homogéneos o sensibles ( redes externas/internas, sistemas
Unix, etc.)
Medida Porcentaje promedio de requisitos de seguridad relevantes abordados en acuerdos con terceros
[Suma de (para cada acuerdo (número de requisitos requeridos - número de requisitos abordados))/
Fórmula/puntuación
número de acuerdos] * 100
Objetivo 100%
Cobro: trimestral
Frecuencia
Informe: semestral
Titular de la información: Oficina de contratación
Formato Gráfico de líneas que representa una tendencia durante varios períodos de informe; breve resumen de los
hallazgos y posibles acciones de manejo
Relación ISO/IEC 27001:2013, A.15.1.2: Abordaje de la seguridad en los acuerdos con proveedores
SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS
NOTA Esto supone que todos los requisitos de seguridad son iguales, mientras que en la práctica este no suele ser el caso.
Por lo tanto, un promedio puede ocultar variaciones significativas y, por lo tanto, presentar una falsa sensación de seguridad. Asimismo, es probable que
difieran los requisitos que una organización impone a sus proveedores y la capacidad de estos para cumplirlos. Esto implica que no se debe medir a todos
los proveedores de la misma manera. Idealmente, la base de datos de proveedores debería incluir una clasificación o categoría de seguridad para garantizar
una medición más precisa y significativa.
Suma de (para cada acuerdo (número de requisitos requeridos - número de requisitos abordados))/
número de acuerdos
1 Proporción promedio de la diferencia de los requisitos estándar a los requisitos abordados: Suma de
(para cada acuerdo ([Requisitos de seguridad abordados totales] – [Requisitos de seguridad estándar
totales.]))/[Número de acuerdos con terceros]
Evidencia de implementación Identificar el número de requisitos de seguridad que deben abordarse en cada
acuerdo por póliza
Análisis: Trimestral
SÓLO PREPÁRESEInforme:
PARA Trimestral
LOS ACABADOS ACADÉMICOS
Revisión de medidas: 2 años
Formato de informe Gráfico de líneas que representa una tendencia en varios períodos de informes. Breve resumen de los
hallazgos y posibles acciones de manejo.
Relación ISO/IEC 27001:2013, A.15.1.2: Abordaje de la seguridad en los acuerdos con proveedores
Fórmula/puntuación a) Definir categorías de incidentes de seguridad y marcos de tiempo objetivo en los que los incidentes de
seguridad deben resolverse para cada categoría de incidentes de seguridad.
b) Definir los umbrales de los indicadores para los incidentes de seguridad que excedan la categoría dados los
plazos previstos
c) Comparar el número de incidentes cuyo tiempo de resolución supera los marcos de tiempo objetivo de la
categoría y comparar su recuento con los umbrales del indicador
Objetivo Incidentes que excedan los marcos de tiempo objetivo de la categoría dentro del umbral verde definido
Análisis: Mensual
Informe: Mensual
Formato de informe Valores de indicadores objetivo mensuales en formato de tabla y diagrama de tendencia
Fórmula/puntuación Compare el valor de medición promedio de los dos últimos períodos de tiempo con el valor de medición promedio
de los últimos 6 períodos de tiempo
Objetivo Verde
Frecuencia Mensual
SÓLO PREPÁRESETitular
Responsables PARA LOS ACABADOS
de la información: ACADÉMICOS
equipo de respuesta a incidentes de seguridad informática (CSIRT)
Diagrama de tendencia
Fórmula/puntuación Suma de eventos de seguridad que han sido reportados y tratados formalmente al CSIRT/
Número de roles de seguridad definidos por la organización
Evidencia de implementación Sistema de venta de entradas utilizado para el tratamiento de eventos de seguridad.
Informe: Anual
Formato de informe Línea de tendencia que muestra la evolución de los eventos reportados en los últimos períodos
Objetivo La relación resultante del indicador debe caer principalmente entre 0,8 y 1,1 para concluir el logro del objetivo
de control y ninguna acción. Y debería estar por encima de 0,6 si no cumple la condición principal.
Evidencia de implementación 1 Recuento del número de informes de revisiones periódicas realizadas por terceros
Análisis: Trimestral
Informe: Trimestral
SÓLO PREPÁRESECliente
PARA LOSGerentes
de medición: ACABADOS
responsables de ACADÉMICOS
un SGSI, Gerente del sistema de calidad
Fuente de datos 1. Informes de revisiones de terceros
Formato de informe Gráfico de barras que representa el cumplimiento durante varios períodos de informes en relación con los
umbrales definidos por el objetivo
Fórmula/puntuación Número de sistemas objeto de una evaluación de vulnerabilidad en el último trimestre o de una prueba de
penetración en el último año / total de sistemas
Objetivo 1
Frecuencia Trimestral
Formato de informe Gráfico circular agregado y gráficos circulares de arreglos de sistemas homogéneos o sensibles que muestran
las proporciones obtenidas
Anexo C
(informativo)
Suponga que todos los miembros del personal (S1) deben leer la versión en línea de la política de seguridad de la información de la
organización como parte de sus términos de empleo (contrato).
En cualquier momento, S2 = número total de empleados que han reconocido haber leído la política en línea (es decir, se han conectado
y al menos se desplazaron hasta el final del texto).
S3 = número de empleados que han asistido a una capacitación específica sobre concientización sobre la política de seguridad de la información.
(S3 siempre será un subconjunto de S2, ya que el curso requerirá su lectura previa en línea de la política).
Todo el personal que haya leído al menos la política debe realizar una prueba en línea, incluidos aquellos que hayan asistido a la
capacitación formal.
S4P = número de miembros del personal que han realizado la prueba después de solo leer la política de intranet y que logran la
calificación de aprobado.
SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS
S4F = número de personas que han realizado la prueba después de solo leer la política de intranet y que no logran aprobar.
S5P = número de personas que han tomado la misma prueba después de asistir a la capacitación formal y que logran aprobar.
S5F = número de personas que han tomado la misma prueba después de asistir a la capacitación y que no logran aprobar.
E1=S1 - S2, la cantidad de personal que aún no ha tenido exposición a la política de seguridad de la información.
E2= S4P / (S4P + S4F), es decir, la proporción de personal que solo ha leído la política y que tiene una buena comprensión de la
misma (determinada por el umbral de aprobación).
E3= S5P / (S5P + S5F), como arriba, para S5, pero para el personal que haya asistido a la capacitación formal.
S1 - S2 también es una medida útil, que indica cuántos miembros del personal aún no han leído la política en línea.
Esto puede tener un umbral que activa una alerta cuando se excede una proporción del número total de empleados (o ambos), pero
también puede adaptarse a una duración dentro de la cual se debe leer la política en línea, en la que tiene que haber una práctica
período de tiempo desde que un empleado comienza y sus acciones introductorias iniciales deben completarse.
Uno puede imaginar que con el tiempo, a medida que avanza la conciencia y la cultura de la seguridad de la información, el umbral
podría elevarse a medida que se identifiquen las tendencias, ya que el análisis de las preguntas puede fallar, lo que podría conducir a
una expresión más efectiva de la política, o al establecimiento de políticas más realistas. metas.