View
213
Download
0
Category
Preview:
Citation preview
1
ANEXO A
MODELO DE MEDICIÓN PARA EL SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN IMPLEMENTADO EN LAS ENTIDADES
GUBERNAMENTALES
En este Anexo, se han plasmado cada una de las estructuras de medición que pueden ser
utilizadas para la realización de una auditoría dentro de las organizaciones gubernamentales
que tengan implementado el modelo del Sistema de Gestión de Seguridad de la informaciones
definido por Gobierno en Línea, este documento esta enfocado en los objetivos de control y
controles que son implementados en la creación del Sistema de Gestión de Seguridad de la
Información en las Entidades del Estado.
2
A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
A.5.1 DIRECTRICES ESTABLECIDAS POR LA DIRECCIÓN PARA LA
SEGURIDAD DE LA INFORMACIÓN
Tabla 1. Medición para directrices establecidas por la dirección para la seguridad de la
información
Identificación de la estructura de medición
Nombre de la estructura de medición Plan de Entrenamiento y sensibilización del
personal en la política general de seguridad y
privacidad de la información de la entidad.
Identificador numérico 5.1
Propósito de la estructura de
medición
El indicador permite tener una medida base del
personal que conoce y se encuentra en línea con
la política general de seguridad y privacidad de
la información de la entidad.
El objetivo del indicador es establecer la
efectividad de un plan de entrenamiento y
sensibilización previamente definido como
medio para el control de incidentes de seguridad
y privacidad de la información dentro de la
entidad. Referencia (Guía 2 y 14 del Modelo de
Seguridad).
Objetivo del control / proceso A.5.1 Directrices establecidas por la dirección
para la seguridad de la información
Objetivo: Brindar orientación y apoyo por parte
de la dirección, para la seguridad de la
información de acuerdo con los requisitos del
negocio y con las leyes y reglamentos
pertinentes.
Control(1)/proceso(1) A.5.1.1 Políticas para la seguridad de la
información
Control: Se debería definir un conjunto de
políticas para la seguridad de la información,
aprobada por la dirección, publicada y
comunicada a los empleados y partes externas
pertinentes.
3
Control(2)/proceso(2) A.5.1.2 Revisión de las políticas para seguridad
de la información
Control: Las políticas para seguridad de la
información se deberían revisar a intervalos
planificados o si ocurren cambios significativos,
para asegurar su conveniencia, adecuación y
eficacia continúas.
Objeto de medición y atributos
Objeto de medición Totalidad de la Base de datos de empleados y
colaboradores de la Entidad evaluada.
1) Personal que ha completado el
entrenamiento y sensibilización en la
política general de seguridad y
privacidad de la información.
2) Personal que ha participado en charlas
informativas para la divulgación de
cambios en la política general de
seguridad y privacidad de la
información.
Atributo Registro de entrenamientos y Charlas.
1) Estado del personal con respecto al
entrenamiento y sensibilización inicial.
(No iniciado, En curso, Completo).
No iniciado: Personal sin plan de
entrenamiento y sensibilización
definido.
En curso: Personal que se encuentra
desarrollando el plan de entrenamiento y
sensibilización.
Completo: Personal que ya ha
completado en su totalidad el plan de
entrenamiento y sensibilización.
2) Estado del personal con respecto a las
Charlas informativas (No ha
participado, Si Participó, Sin cambios,
Sin entrenamiento)
4
No ha participado: Personal que ya
realizó el plan de entrenamiento, pero
aún no ha sido participe en las charlas
informativas más recientes.
Si participó: Personal que ya realizó el
plan de entrenamiento y de igual manera
participó en las charlas informativas
más recientes.
Sin cambios: Personal que ya realizó el
plan de entrenamiento y debe ser
partícipe de las charlas informativas
cuando se requiera (Cuando existan
cambios en la política general de
seguridad y privacidad de la
información).
Sin entrenamiento: Personal que no ha
recibido el plan de entrenamiento por lo
que no debe ser partícipe de las charlas
informativas aun.
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) Definición porcentual de la cantidad de
empleados y colaboradores que han
recibido el entrenamiento sobre la
política general de seguridad y
privacidad de la información.
2) Definición porcentual de la cantidad de
empleados y colaboradores que han
participado en las charlas informativas
para la divulgación de cambios (si los
hay) en la política general de seguridad
y privacidad de la información
Especificación de medida derivada
Función de medición Definir un Umbral porcentual de Cumplimiento
para cada trimestre de medición durante los
primeros cuatro trimestres después de estos
cuatro trimestres el umbral se define por el
modelo analítico de este indicador de gestión,
1) Contar el número de personas con:
5
Atributo: estado del personal con
respecto al entrenamiento inicial - >
(Completo).
Y dividir esta cantidad entre el número
total de empleados y colaboradores de la
entidad, multiplicar el resultado por 100.
Realizar la evaluación dependiendo el
umbral definido.
2) Contar el número de personas con:
Atributo: estado del personal con
respecto a las Charlas informativas - >
(Si Participó, Sin cambios)
Y dividir esta cantidad entre el número
el número de personas con
Atributo: estado del personal con
respecto al entrenamiento inicial - >
(Completo), multiplicar el resultado por
100.
Realizar la evaluación según el modelo
analítico.
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(rojo, amarillo, verde) definidos por el Modelo
analítico.
Reportes realizados trimestralmente tanto para
el plan de entrenamiento, como para el plan de
divulgación de cambios.
Modelo analítico 0-60% - Rojo; 61-90% - Amarillo; 91-100%
Verde
6
Especificación de los modelos de decisión
Criterios de decisión Rojo - se requiere intervención, es necesario
efectuar un análisis de las causas para
determinar las razones del no cumplimiento o
rendimiento pobre
Amarillo - se recomienda que se siga de cerca
este indicador por la posibilidad de que se
deslice a Rojo
Verde - no se requiere acción, continuar con el
proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en Rojo o Amarillo. Las acciones correctivas
son Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad, Gerente de Recursos
Humanos.
Propietario de la información Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección
Recolector de la información Gerencia de Recursos humanos.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
7
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A.6.1 ORGANIZACIÓN INTERNA
Tabla 2. Medición para organización interna
Identificación de la estructura de medición
Nombre de la estructura de medición Definición de roles y responsabilidades para el
cumplimiento de la política de seguridad y
privacidad de la información.
Identificador numérico 6.1
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con la asignación de personas y sus respectivas
responsabilidades relacionadas a la seguridad y
privacidad de la información al interior de la
entidad, Referencia (Guía 4 del Modelo de
Seguridad).
Objetivo del control / proceso A.6.1 Organización interna
Objetivo: Establecer un marco de referencia de
gestión para iniciar y controlar la
implementación y la operación de la seguridad
de la información dentro de la organización.
Control(1)/proceso(1) A.6.1.1 Roles y responsabilidades para la
seguridad de información
Control: Se deberían definir y asignar todas las
responsabilidades de la seguridad de la
información.
Control(2)/proceso(2) A.6.1.2 Separación de deberes
Control: Los deberes y áreas de responsabilidad
en conflicto se deberían separar para reducir las
posibilidades de modificación no autorizada o
no intencional, o el uso indebido de los activos
de la organización.
Control(3)/proceso(3) A.6.1.3 Contacto con las autoridades
Control: Se deberían mantener los contactos
apropiados con las autoridades pertinentes.
8
Control(4)/proceso(4) A.6.1.4 Contacto con grupos de interés especial
Control: Es conveniente mantener contactos
apropiados con grupos de interés especial u
otros foros y asociaciones profesionales
especializadas en seguridad.
Control(5)/proceso(5) A.6.1.5 Seguridad de la información en la
gestión de proyectos
Control: La seguridad de la información se
debería tratar en la gestión de proyectos,
independientemente del tipo de proyecto.
Objeto de medición y atributos
Objeto de medición Totalidad de la Base de datos de empleados y
colaboradores de la Entidad evaluada.
1) Personal que tiene su rol y
responsabilidades definidas dentro de la
entidad en lo que se refiere a la
seguridad y privacidad de la
información.
Atributo Registro del personal en el cual se relaciona el
estado de su rol y responsabilidades dentro de la
entidad en lo que se refiere a la seguridad y
privacidad de la información, tomando como
base la Guía 4 del Modelo de Seguridad.
1) Estado del personal con respecto a su rol
y responsabilidades dentro de la entidad
en lo que se refiere a la seguridad y
privacidad de la información (Definido
y Cumplido, Definido, No Definido).
Definido y Cumplido: Personal que
cuenta con un rol y unas
responsabilidades definidas y ha
cumplido con cada uno de los objetivos
definidos para su rol dentro de la
entidad.
Definido: Personal que cuenta con un
rol y unas responsabilidades definidas
pero aún no ha cumplido con la totalidad
9
de los objetivos definidos para su rol
dentro de la entidad.
No Definido: Personal que aún no
cuenta con un rol y unas
responsabilidades definidas dentro de la
entidad.
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) Definición porcentual de la cantidad de
empleados y colaboradores que tienen
su rol y responsabilidades definidas y
que ha cumplido con cada uno de los
objetivos definidos para su rol dentro de
la entidad.
Especificación de medida derivada
Función de medición Umbral definido por el modelo analítico de este
indicador de gestión,
1) Contar el número de personas con:
Atributo: estado del personal con
respecto a su rol y responsabilidades
dentro de la entidad en lo que se refiere
a la seguridad y privacidad de la
información - > (Definido y Cumplido).
Y dividir esta cantidad entre el número
total de empleados y colaboradores de la
entidad, multiplicar el resultado por 100.
Realizar la evaluación dependiendo el
umbral definido.
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(rojo, amarillo, verde) definidos por el Modelo
analítico.
Reportes realizados anualmente.
Modelo analítico 0-60% - Rojo; 61-90% - Amarillo; 91-100%
Verde
10
Especificación de los modelos de decisión
Criterios de decisión Rojo - se requiere intervención, es necesario
efectuar un análisis de las causas para
determinar las razones del no cumplimiento o
rendimiento pobre
Amarillo - se recomienda que se siga de cerca
este indicador por la posibilidad de que se
deslice a Rojo
Verde - no se requiere acción, continuar con el
proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en Rojo o Amarillo. Las acciones correctivas
son Específicas de la Entidad.
Se hace necesario crear nuevos roles y asignar
responsabilidades en los roles actuales, por lo
tanto, el indicador está enfocado, no solo a la
contratación de nuevas personas, sí no a la
asignación de responsabilidades a cada uno de
los roles ya definidos por la entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad, Gerente de Recursos
Humanos.
Propietario de la información Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección
Recolector de la información Gerencia de Recursos humanos.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
11
Frecuencia del informe de los
resultados de la medición
Anual
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
A.6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO
Tabla 3. Medición para dispositivos móviles y teletrabajo
Identificación de la estructura de medición
Nombre de la estructura de medición Implementación de Políticas de Seguridad y
Privacidad de la información en lo relacionado
al Uso de dispositivos móviles y teletrabajo en
la entidad.
Identificador numérico 6.2
Propósito de la estructura de
medición
Identificar la implementación de estándares en
lo relacionado al uso de dispositivos móviles y
teletrabajo dentro de la política de seguridad y
privacidad de la información de la entidad.
Objetivo del control / proceso A.6.2 Dispositivos móviles y teletrabajo
Objetivo: Garantizar la seguridad del teletrabajo
y el uso de dispositivos móviles.
Control(1)/proceso(1) A.6.2.1 Política para dispositivos móviles
Control: Se deberían adoptar una política y unas
medidas de seguridad de soporte, para gestionar
los riesgos introducidos por el uso de
dispositivos móviles.
Control(2)/proceso(2) A.6.2.2 Teletrabajo
Control: Se deberían implementar una política y
unas medidas de seguridad de soporte, para
proteger la información a la que se tiene acceso,
que es procesada o almacenada en los lugares en
los que se realiza teletrabajo.
12
Objeto de medición y atributos
Objeto de medición Muestreo de empleados de la entidad, para
identificar el cumplimiento de las políticas de
seguridad y privacidad de la información en lo
relacionado al Uso de dispositivos móviles y
teletrabajo.
SGSI de la Entidad
Atributo Preguntas puntuales para realizar la verificación
de la implementación de las políticas de
seguridad y privacidad de la información en lo
relacionado al Uso de dispositivos móviles y
teletrabajo en la entidad.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información estándares que garanticen
el buen uso de dispositivos móviles
dentro de la entidad? (SI se evidencia
implementación o NO se evidencia
implementación)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información estándares que garanticen
las buenas prácticas a la hora de efectuar
labores en teletrabajo? (SI se evidencia
implementación o NO se evidencia
implementación)
Se debe profundizar sobre la respuesta de cada
empleado que haya sido escogido dentro del
muestreo.
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) Definición porcentual de la cantidad de
empleados en los que (SI se evidencia
implementación) de estándares que
garanticen el buen uso de dispositivos
móviles dentro de la política general de
seguridad y privacidad de la
información de la entidad.
13
2) Definición porcentual de la cantidad de
empleados en los que (SI se evidencia
implementación) de estándares que
garanticen las buenas prácticas a la hora
de efectuar labores en teletrabajo dentro
de la política general de seguridad y
privacidad de la información de la
entidad.
Especificación de medida derivada
Función de medición Umbral definido por el modelo analítico de este
indicador de gestión,
1) Contar el número de personas con:
Atributo: (SI se evidencia
implementación) de estándares que
garanticen el buen uso de dispositivos
móviles dentro de la política general de
seguridad y privacidad de la
información de la entidad.
Y dividir esta cantidad entre el número
total de la muestra tomada para la
evaluación, multiplicar el resultado por
100.
2) Contar el número de personas con:
Atributo: (SI se evidencia
implementación) de estándares que
garanticen las buenas prácticas a la hora
de efectuar labores en teletrabajo dentro
de la política general de seguridad y
privacidad de la información de la
entidad.
Y dividir esta cantidad entre el número
total de la muestra tomada para la
evaluación, multiplicar el resultado por
100.
Realizar la evaluación dependiendo el umbral
definido.
14
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0-90% - NO CUMPLE; 91-100% - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad.
Propietario de la información Gerencia de seguridad, La alta dirección
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Mensual
15
Frecuencia del informe de los
resultados de la medición
Mensual
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
16
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
A.7.1 ANTES DE ASUMIR EL EMPLEO
Tabla 4. Medición para antes de asumir el empleo
Identificación de la estructura de medición
Nombre de la estructura de medición Implementación de un proceso de Ingreso y
Desvinculación del personal Idóneo para
asegurar el cumplimiento de la política general
de seguridad y privacidad de la información de
la entidad
Identificador numérico 7.1
Propósito de la estructura de
medición
Identificar si el proceso de Ingreso y
Desvinculación del personal de la entidad es el
indicado para garantizar el cumplimiento de la
política general de seguridad y privacidad de la
información.
Objetivo del control / proceso A.7.1 Antes de asumir el empleo
Objetivo: Asegurar que los empleados y
contratistas comprenden sus responsabilidades
y son idóneos en los roles para los que se
consideran.
Control(1)/proceso(1) A.7.1.1 Selección
Control: Las verificaciones de los antecedentes
de todos los candidatos a un empleo se deberían
llevar a cabo de acuerdo con las leyes,
reglamentos y ética pertinentes, y deberían ser
proporcionales a los requisitos de negocio, a la
clasificación de la información a que se va a
tener acceso, y a los riesgos percibidos.
Control(2)/proceso(2) A.7.1.2 Términos y condiciones del empleo
Control: Los acuerdos contractuales con
empleados y contratistas, deberían establecer
sus responsabilidades y las de la organización
en cuanto a la seguridad de la información.
17
Objeto de medición y atributos
Objeto de medición Procedimiento de Ingreso y Desvinculación del
personal
Atributo Preguntas puntuales para determinar si el procedimiento de Ingreso y Desvinculación del
personal de la entidad es el indicado para
garantizar el cumplimiento de la política general
de seguridad y privacidad de la información.
1) ¿Dentro del procedimiento de Ingreso y
Desvinculación del personal de la
entidad se garantiza que el personal que
va a ser contratado cuente con las
competencias técnicas y sea una persona
éticamente correcta y confiable,
especialmente si accede a información
sensitiva de la entidad? (SI se evidencia
o NO se evidencia)
2) ¿En los acuerdos contractuales que son
firmados tanto por el empleado como
por el empleador existen cláusulas en las
cuales se puntualice sobre la
confidencialidad de la información y
respecto a las leyes y derechos de la
propiedad intelectual? (SI se evidencia o
NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
18
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
19
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.7.2 DURANTE LA EJECUCIÓN DEL EMPLEO
Tabla 5. Medición durante la ejecución del empleo
Identificación de la estructura de medición
Nombre de la estructura de medición Plan de Entrenamiento y Concientización del
personal en las políticas y procedimientos
pertinentes para su cargo.
Identificador numérico 7.2
Propósito de la estructura de
medición
Evaluar el cumplimiento de los requerimientos
sobre el entrenamiento anual en la
concientización sobre las políticas y
procedimientos pertinentes para su cargo.
Objetivo del control / proceso A.7.2 Durante la ejecución del empleo
Objetivo: Asegurarse de que los empleados y
contratistas tomen conciencia de sus
responsabilidades de seguridad de la
información y las cumplan.
Control(1)/proceso(1) A.7.2.1 Responsabilidades de la dirección
Control: La dirección debería exigir a todos los
empleados y contratistas la aplicación de la
seguridad de la información de acuerdo con las
políticas y procedimientos establecidos por la
organización.
Control(2)/proceso(2) A.7.2.2 Toma de conciencia, educación y
formación en la seguridad de la información
Control: Todos los empleados de la
organización, y en donde sea pertinente, los
contratistas, deberían recibir la educación y la
formación en toma de conciencia apropiada, y
actualizaciones regulares sobre las políticas y
procedimientos pertinentes para su cargo.
20
Control(4)/proceso(4) A.7.2.3 Proceso disciplinario
Control: Se debería contar con un proceso
disciplinario formal el cual debería ser
comunicado, para emprender acciones contra
empleados que hayan cometido una violación a
la seguridad de la información.
Objeto de medición y atributos
Objeto de medición Totalidad de la Base de datos de empleados y
colaboradores de la Entidad evaluada.
1) Personal que ha completado el
entrenamiento y concientización en las
políticas y procedimientos pertinentes
para su cargo.
2) Personal que ha participado en charlas
informativas para la divulgación de
cambios en las políticas y
procedimientos pertinentes para su
cargo.
SGSI de la Entidad
Atributo Registro de entrenamientos y Charlas.
1) Estado del personal con respecto al
entrenamiento y concientización inicial.
(No iniciado, En curso, Completo).
No iniciado: Personal sin plan de
entrenamiento y concientización
definido.
En curso: Personal que se encuentra
desarrollando el plan de entrenamiento y
concientización.
Completo: Personal que ya ha
completado en su totalidad el plan de
entrenamiento y concientización.
2) Estado del personal con respecto a las
Charlas informativas (No ha
participado, Si Participó, Sin cambios,
Sin entrenamiento)
21
No ha participado: Personal que ya
realizó el plan de entrenamiento y
concientización pero aún no ha sido
participe en las charlas informativas más
recientes.
Si participó: Personal que ya realizó el
plan de entrenamiento y
concientización y de igual
manera participó en las charlas
informativas más recientes.
Sin cambios: Personal que ya realizó el
plan de entrenamiento y concientización
y debe ser partícipe de las charlas
informativas cuando se requiera
(Cuando existan cambios en las políticas
y procedimientos pertinentes para su
cargo).
Sin entrenamiento: Personal que no ha
recibido el plan de entrenamiento y
concientización por lo que no debe ser
partícipe de las charlas informativas
aun.
Preguntas puntuales para determinar si se
cuenta con un documento en el cual se describan
los procedimientos disciplinarios que se llevan
a cabo en la entidad cuando se requieren y si este
procedimiento es el indicado para garantizar el
cumplimiento de la política general de
seguridad y privacidad de la información.
3) ¿Dentro de las políticas y
procedimientos de la entidad existe
algún documento que describa los
procesos disciplinarios que se deben
llevar a cabo con el fin de garantizar la
seguridad y privacidad de la
información dentro de la entidad? (SI se
evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) Definición porcentual de la cantidad de
empleados y colaboradores que han
recibido el entrenamiento y
concientización en las políticas y
22
procedimientos pertinentes para su
cargo.
2) Definición porcentual de la cantidad de
empleados y colaboradores que han
participado en las charlas informativas
para la divulgación de cambios (si los
hay) en las políticas y procedimientos
pertinentes para su cargo.
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición Definir un Umbral porcentual de Cumplimiento
para cada trimestre de medición durante los
primeros cuatro trimestres después de estos
cuatro trimestres el umbral se define por el
modelo analítico de este indicador de gestión,
1) Contar el número de personas con:
Atributo: estado del personal con
respecto al entrenamiento y
concientización inicial - > (Completo).
Y dividir esta cantidad entre el número
total de empleados y colaboradores de la
entidad, multiplicar el resultado por 100.
Realizar la evaluación dependiendo el
umbral definido.
2) Contar el número de personas con:
Atributo: estado del personal con
respecto a las Charlas informativas - >
(Si Participó, Sin cambios)
Y dividir esta cantidad entre el número
el número de personas con
Atributo: estado del personal con
respecto al entrenamiento inicial - >
23
(Completo), multiplicar el resultado por
100.
Realizar la evaluación según el modelo
analítico.
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador 1) Uso de identificadores de color. Gráfico
de barras que representa cumplimiento
en varios períodos de reporte con
respecto a los umbrales (rojo, amarillo,
verde) definidos por el Modelo
analítico.
Reportes realizados trimestralmente
2) Uso de identificadores de color. Gráfico
de barras que representa cumplimiento
en varios períodos de reporte con
respecto a los umbrales (rojo, amarillo,
verde) definidos por el Modelo
analítico.
Reportes realizados trimestralmente
3) Uso de identificadores de color. Gráfico
de barras que representa cumplimiento
en varios períodos de reporte con
respecto a los umbrales (CUMPLE y
NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 1) 0-60% - Rojo; 61-90% - Amarillo; 91-
100% Verde
2) 0-60% - Rojo; 61-90% - Amarillo; 91-
100% Verde
3) 0 - NO CUMPLE; 1 - CUMPLE
24
Especificación de los modelos de decisión
Criterios de decisión 1) Rojo - se requiere intervención, es
necesario efectuar un análisis de las
causas para determinar las razones del
no cumplimiento o rendimiento pobre
Amarillo - se recomienda que se siga de
cerca este indicador por la posibilidad de
que se deslice a Rojo
Verde - no se requiere acción, continuar
con el proceso como se viene
desarrollando.
2) Rojo - se requiere intervención, es
necesario efectuar un análisis de las
causas para determinar las razones del
no cumplimiento o rendimiento pobre
Amarillo - se recomienda que se siga de
cerca este indicador por la posibilidad de
que se deslice a Rojo
Verde - no se requiere acción, continuar
con el proceso como se viene
desarrollando.
3) NO CUMPLE - se requiere
intervención, es necesario efectuar un
análisis de las causas para determinar las
razones del no cumplimiento.
CUMPLE - no se requiere acción,
continuar con el proceso como se viene
desarrollando.
Resultados de medición
Interpretación de un indicador 1) Tomar acciones correctivas para el
siguiente periodo de medición si el
indicador se encuentra en Rojo o
Amarillo. Las acciones correctivas son
Específicas de la Entidad.
2) Tomar acciones correctivas para el
siguiente periodo de medición si el
25
indicador se encuentra en Rojo o
Amarillo. Las acciones correctivas son
Específicas de la Entidad.
3) Tomar acciones correctivas para el
siguiente periodo de medición si el
indicador se encuentra en NO
CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad, Gerente de Recursos
Humanos.
Propietario de la información Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección
Recolector de la información 1) Gerencia de Recursos humanos.
2) Gerencia de Recursos humanos.
3) Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición 1) Revisar Mensualmente
2) Revisar Mensualmente
3) Revisar Trimestralmente
Período de medición Anual
Los autores
A.7.3 TERMINACIÓN O CAMBIO DE EMPLEO
Tabla 6. Medición para terminación o cambio de empleo
Identificación de la estructura de medición
Nombre de la estructura de medición Implementación de un proceso de terminación
de contrato o cambio de empleo Idóneo para
asegurar el cumplimiento de la política general
26
de seguridad y privacidad de la información de
la entidad
Identificador numérico 7.3
Propósito de la estructura de
medición
Identificar si el proceso de terminación de
contrato o cambio de empleo de la entidad es el
indicado para garantizar el cumplimiento de la
política general de seguridad y privacidad de la
información.
Objetivo del control / proceso A.7.3 Terminación o cambio de empleo
Objetivo: Proteger los intereses de la
organización como parte del proceso de cambio
o terminación del contrato.
Control(1)/proceso(1) A.7.3.1 Terminación o cambio de
responsabilidades de empleo
Control: Las responsabilidades y los deberes de
seguridad de la información que permanecen
validos después de la terminación o cambio de
contrato se deberían definir, comunicar al
empleado o contratista y se deberían hacer
cumplir.
Objeto de medición y atributos
Objeto de medición Procedimiento de terminación de contrato o
cambio de empleo de la entidad.
Atributo Preguntas puntuales para determinar si el
procedimiento de terminación de contrato o
cambio de empleo de la entidad es el indicado
para garantizar el cumplimiento de la política
general de seguridad y privacidad de la
información.
¿En los acuerdos contractuales que son
firmados tanto por el empleado como por el
empleador existen cláusulas en las cuales se
puntualice sobre la confidencialidad de la
información y respecto a las leyes y derechos de
la propiedad intelectual, aun después de la
terminación de contrato o cambio de empleo?
(SI se evidencia o NO se evidencia)
27
Especificación de medidas base (para cada medida base [1..n])
Método de medición 0 NO CUMPLE (NO se evidencia); 1 CUMPLE
(SI se evidencia)
Especificación de medida derivada
Función de medición SI se evidencia = CUMPLE; NO se evidencia =
NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
28
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
29
A.8 GESTIÓN DE ACTIVOS
A.8.1 RESPONSABILIDAD POR LOS ACTIVOS
Tabla 7. Medición para responsabilidad por los activos
Identificación de la estructura de medición
Nombre de la estructura de medición Gestión y Clasificación de Activos
Identificador numérico 8.1
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con el proceso de Gestión y clasificación de
activos dentro de la entidad. Referencia (Guía 5
del Modelo de Seguridad).
Objetivo del control / proceso A.8.1 Responsabilidad por los activos
Objetivo: Identificar los activos
organizacionales y definir las responsabilidades
de protección apropiadas.
Control(1)/proceso(1) A.8.1.1 Inventario de activos
Control: Se deberían identificar los activos
asociados con la información y las instalaciones
de procesamiento de información, y se debería
elaborar y mantener un inventario de estos
activos.
Control(2)/proceso(2) A.8.1.2 Propiedad de los activos
Control: Los activos mantenidos en el
inventario deberían tener un propietario.
Control(3)/proceso(3) A.8.1.3 Uso aceptable de los activos
Control: Se deberían identificar, documentar e
implementar reglas para el uso aceptable de
información y de activos asociados con
información e instalaciones de procesamiento
de información.
30
Control(4)/proceso(4) A.8.1.4 Devolución de activos
Control: Todos los empleados y usuarios de
partes externas deberían devolver todos los
activos de la organización que se encuentren a
su cargo, al terminar su empleo, contrato o
acuerdo.
Objeto de medición y atributos
Objeto de medición Procedimiento de identificación y clasificación
de activos de la entidad
Atributo Preguntas puntuales para determinar si el
procedimiento de identificación y clasificación
de activos de la entidad es el indicado para
garantizar el cumplimiento de la política general
de seguridad y privacidad de la información.
1) ¿Dentro del procedimiento de
identificación y clasificación de activos
de la entidad se garantiza que todos los
activos sean identificados e
inventariados por la entidad y que de
igual manera sean clasificados de
acuerdo a su nivel de confidencialidad o
criticidad? (SI se evidencia o NO se
evidencia)
2) ¿Dentro del procedimiento de
identificación y clasificación de activos
de la entidad se tienen en cuenta las
actividades de asignación de activos y
su respectiva devolución una vez se
termina la relación laboral con la
entidad? (SI se evidencia o NO se
evidencia)
3) ¿Dentro del procedimiento de
identificación y clasificación de activos
de la entidad se tienen actividades para
garantizar una correcta disposición de
los activos cuando ya no se requieran,
asegurando su transferencia hacia otros
lugares de forma segura? (SI se
evidencia o NO se evidencia)
31
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
32
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.8.2 CLASIFICACIÓN DE LA INFORMACIÓN
Tabla 8. Medición para clasificación de la información
Identificación de la estructura de medición
Nombre de la estructura de medición Gestión y Clasificación de la Información
Identificador numérico 8.2
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con el proceso de Gestión y clasificación de la
información dentro de la entidad. Referencia
(Guía 5 del Modelo de Seguridad).
Objetivo del control / proceso A.8.2 Clasificación de la información
Objetivo: Asegurar que la información recibe
un nivel apropiado de protección, de acuerdo
con su importancia para la organización.
Control(1)/proceso(1) A.8.2.1 Clasificación de la información
Control: La información se debería clasificar en
función de los requisitos legales, valor,
criticidad y susceptibilidad a divulgación o a
modificación no autorizada.
33
Control(2)/proceso(2) A.8.2.2 Etiquetado de la información
Control: Se debería desarrollar e implementar
un conjunto adecuado de procedimientos para el
etiquetado de la información, de acuerdo con el
esquema de clasificación de información
adoptado por la organización.
Control(3)/proceso(3) A.8.2.3 Manejo de activos
Control: Se deberían desarrollar e implementar
procedimientos para el manejo de activos, de
acuerdo con el esquema de clasificación de
información adoptado por la organización.
Objeto de medición y atributos
Objeto de medición Procedimiento de identificación y clasificación
de activos de la entidad
Atributo Preguntas puntuales para determinar si el
procedimiento de identificación y clasificación
de activos de la entidad es el indicado para
garantizar el cumplimiento de la política general
de seguridad y privacidad de la información.
1) ¿Dentro del procedimiento de
identificación y clasificación de activos
de la entidad la información se clasifica
en función de los requisitos legales,
valor, criticidad y susceptibilidad a
divulgación o a modificación no
autorizada? (SI se evidencia o NO se
evidencia)
2) ¿Dentro del procedimiento de
identificación y clasificación de activos
de la entidad se tienen actividades para
llevar a cabo el etiquetado de la
información siguiendo el esquema de
clasificación de la información adoptado
por la entidad? (SI se evidencia o NO se
evidencia)
3) ¿Dentro del procedimiento de
identificación y clasificación de activos
de la entidad se tienen actividades para
el manejo de activos, de acuerdo con el
esquema de clasificación de
34
información adoptado por la entidad?
(SI se evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
35
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.8.3 MANEJO DE LOS SOPORTES DE ALMACENAMIENTO
Tabla 9. Medición para manejo de los soportes de almacenamiento
Identificación de la estructura de medición
Nombre de la estructura de medición Gestión de medios removibles de
almacenamiento de información
Identificador numérico 8.3
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con el proceso de Gestión de medios removibles
de almacenamiento de información de la
entidad. Referencia (Guía 5 del Modelo de
Seguridad).
Objetivo del control / proceso A.8.3 Manejo de los soportes de
almacenamiento.
Control(1)/proceso(1) A.8.3.1 Gestión de medios removibles
Control: Se deberían implementar
procedimientos para la gestión de medios
36
removibles, de acuerdo con el esquema de
clasificación adoptado por la organización.
Control(2)/proceso(2) A.8.3.2 Disposición de los medios
Control: Se debería disponer en forma segura
de los medios cuando ya no se requieran,
utilizando procedimientos formales.
Control(3)/proceso(3) A.8.3.3 Transferencia de medios físicos
Control: Los medios que contienen
información se deberían proteger contra acceso
no autorizado, uso indebido o corrupción
durante el transporte.
Objeto de medición y atributos
Objeto de medición Procedimiento de identificación y clasificación de activos de la entidad
Atributo Preguntas puntuales para determinar si el
procedimiento de identificación y clasificación
de activos de la entidad es el indicado para
garantizar el cumplimiento de la política general
de seguridad y privacidad de la información.
1) Los medios removibles podrían
almacenar información confidencial por
lo que deberían tener el mismo
tratamiento y esquema de clasificación
que cualquier otro activo.
¿Dentro del procedimiento de
identificación y clasificación de activos
de la entidad, se garantiza que los
activos removibles de la entidad tengan
este mismo tratamiento y esquema de
clasificación que tienen los demás
activos de la entidad? (SI se evidencia o
NO se evidencia)
37
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 – CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
38
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
39
A.9 CONTROL DE ACCESO
A.9.1 REQUISITOS DEL NEGOCIO PARA CONTROL DE ACCESO
Tabla 10. Medición en requisitos del negocio para control de acceso
Identificación de la estructura de medición
Nombre de la estructura de medición Verificación requisitos del negocio para el
control de acceso
Identificador numérico 9.1
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con el proceso para el ingreso seguro a los
sistemas de información de la entidad, teniendo
en cuenta los requisitos del negocio y de
seguridad de la información.
Objetivo del control / proceso A.9.1 Requisitos del negocio para control de
acceso
Objetivo: Limitar el acceso a información y a
instalaciones de procesamiento de información.
Control(1)/proceso(1) A.9.1.1 Política de control de acceso
Control: Se debería establecer, documentar y
revisar una política de control de acceso con
base en los requisitos del negocio y de seguridad
de la información.
Control(2)/proceso(2) A.9.1.2 Política sobre el uso de los servicios de
red
Control: Solo se debería permitir acceso de los
usuarios a la red y a los servicios de red para los
que hayan sido autorizados específicamente.
Objeto de medición y atributos
Objeto de medición Procedimiento para el Ingreso Seguro a los
Sistemas de información.
Atributo Preguntas puntuales para determinar si el
procedimiento para el Ingreso Seguro a los
Sistemas de información de la entidad es el
indicado para garantizar el cumplimiento de la
40
política general de seguridad y privacidad de la
información.
1) ¿Dentro del procedimiento para el
Ingreso Seguro a los Sistemas de
información de la entidad se indica
como es la gestión que se realiza para el
acceso a los sistemas de información?
(SI se evidencia o NO se evidencia)
2) ¿La Gestión realizada en el
procedimiento para el Ingreso Seguro a
los Sistemas de información de la
entidad emplea métodos preventivos
contra ataques de fuerza bruta
realizando la validación completa de los
datos de ingreso a los sistemas? (SI se
evidencia o NO se evidencia)
3) ¿Dentro de la validación de datos de
ingreso a los sistemas de información de
la entidad se emplean métodos de
cifrado de la información de acceso,
para garantizar la seguridad que se
requiere al acceder a la Red y a sus
respectivos servicios? (SI se evidencia o
NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
41
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
42
A.9.2 GESTIÓN DE ACCESO DE USUARIOS
Tabla 11. Medición para gestión de acceso de usuarios
Identificación de la estructura de medición
Nombre de la estructura de medición Gestión de Usurarios y control de acceso
Identificador numérico 9.2
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con el proceso de Gestión de usuarios y control
de acceso a los sistemas de información de la
entidad.
Objetivo del control / proceso A.9.2 Gestión de acceso de usuarios
Objetivo: Asegurar el acceso de los usuarios
autorizados y evitar el acceso no autorizado a
sistemas y servicios.
Control(1)/proceso(1) A.9.2.1 Registro y cancelación del registro de
usuarios
Control: Se debería implementar un proceso
formal de registro y de cancelación de registro
de usuarios, para posibilitar la asignación de los
derechos de acceso.
Control(2)/proceso(2) A.9.2.2 Suministro de acceso de usuarios
Control: Se debería implementar un proceso de
suministro de acceso formal de usuarios para
asignar o revocar los derechos de acceso a todo
tipo de usuarios para todos los sistemas y
servicios.
Control(3)/proceso(3) A.9.2.3 Gestión de derechos de acceso
privilegiado
Control: Se debería restringir y controlar la
asignación y uso de derechos de acceso
privilegiado.
Control(4)/proceso(4) A.9.2.4 Gestión de información de
autenticación secreta de usuarios
43
Control: La asignación de la información
secreta se debería controlar por medio de un
proceso de gestión formal.
Control(5)/proceso(5) A.9.2.5 Revisión de los derechos de acceso de
usuarios
Control: Los propietarios de los activos
deberían revisar los derechos de acceso de los
usuarios, a intervalos regulares.
Control(6)/proceso(6) A.9.2.6 Retiro o ajuste de los derechos de
acceso
Control: Los derechos de acceso de todos los
empleados y de usuarios externos a la
información y a las instalaciones de
procesamiento de información se deberían
retirar al terminar su empleo, contrato o
acuerdo, o se deberían ajustar cuando se hagan
cambios.
Objeto de medición y atributos
Objeto de medición Procedimiento de Gestión de Usuarios y
Contraseñas.
Atributo Preguntas puntuales para determinar si el
Procedimiento de Gestión de Usuarios y
Contraseñas de la entidad es el indicado para
garantizar el cumplimiento de la política general
de seguridad y privacidad de la información.
1) ¿Dentro del Procedimiento de Gestión
de Usuarios y Contraseñas de la entidad
se indica cómo se realiza la creación de
usuarios y la asignación de contraseñas
de cada uno de ellos? (SI se evidencia o
NO se evidencia)
2) ¿Dentro del Procedimiento de Gestión
de Usuarios y Contraseñas de la entidad
se indica cómo se realiza el cambio de
rol, eliminación o bloqueo de los
usuarios que cambiaron de cargo o
terminaron su empleo ,contrato o
acuerdo con la entidad? (SI se evidencia
o NO se evidencia)
44
3) ¿Dentro del Procedimiento de Gestión
de Usuarios y Contraseñas de la entidad
se tienen definidos roles para cada una
de los colaboradores de la entidad con el
fin de restringir y controlar el acceso
privilegiado a los sistemas de
información de la entidad? (SI se
evidencia o NO se evidencia)
4) ¿Para llevar a cabo el Procedimiento de
Gestión de Usuarios y Contraseñas se
tiene en cuenta la política de contraseñas
seguras definida previamente por la
entidad? (SI se evidencia o NO se
evidencia)
5) ¿La Política de contraseñas seguras
definida por la entidad contempla
factores como, no permitir la
reutilización de contraseñas usadas
previamente por el usuario y exigir el
cambio de contraseñas definiendo un
tiempo prudente para que el cambio se
realice (El tiempo de cambio de
contraseñas es definido por cada
entidad)? (SI se evidencia o NO se
evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
4) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
5) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
45
4) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
5) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
46
A.9.3 RESPONSABILIDADES DE LOS USUARIOS
Tabla 12. Medición para responsabilidades de los usuarios
Identificación de la estructura de medición
Nombre de la estructura de medición Plan de Entrenamiento y sensibilización del
personal en la política de contraseñas seguras y
en el buen uso de la información de
autenticación secreta dentro de la entidad.
Identificador numérico 9.3
Propósito de la estructura de
medición
El indicador permite tener una medida base del
personal que conoce y se encuentra en línea con
la política de contraseñas seguras y con el buen
uso de la información de autenticación secreta
para cada uno de los sistemas de información
dentro de la entidad.
Objetivo del control / proceso A.9.3 Responsabilidades de los usuarios
Objetivo: Hacer que los usuarios rindan cuentas
por la salvaguarda de su información de
autenticación.
Control(1)/proceso(1) A.9.3.1 Uso de la información de autenticación
secreta
Control: Se debería exigir a los usuarios que
cumplan las prácticas de la organización para el
uso de información de autenticación secreta.
Objeto de medición y atributos
Objeto de medición Totalidad de la Base de datos de empleados y
colaboradores de la Entidad evaluada.
1) Personal que ha completado el
entrenamiento y sensibilización en la
política de contraseñas seguras y el buen
uso de la información de autenticación
secreta de la entidad.
2) Personal que ha participado en charlas
informativas para la divulgación de
cambios en la política de contraseñas
seguras y el buen uso de la información
de autenticación secreta de la entidad.
Atributo Registro de entrenamientos y Charlas.
47
1) Estado del personal con respecto al
entrenamiento y sensibilización inicial.
(No iniciado, En curso, Completo).
No iniciado: Personal sin plan de
entrenamiento y sensibilización
definido.
En curso: Personal que se encuentra
desarrollando el plan de entrenamiento y
sensibilización.
Completo: Personal que ya ha
completado en su totalidad el plan de
entrenamiento y sensibilización.
2) Estado del personal con respecto a las
Charlas informativas (No ha
participado, Si Participó, Sin cambios,
Sin entrenamiento)
No ha participado: Personal que ya
realizó el plan de entrenamiento, pero
aún no ha sido participe en las charlas
informativas más recientes.
Si participó: Personal que ya realizó el
plan de entrenamiento y de igual manera
participó en las charlas informativas
más recientes.
Sin cambios: Personal que ya realizó el
plan de entrenamiento y debe ser
partícipe de las charlas informativas
cuando se requiera (Cuando existan
cambios en la política general de
seguridad y privacidad de la
información).
Sin entrenamiento: Personal que no ha
recibido el plan de entrenamiento por lo
que no debe ser partícipe de las charlas
informativas aun.
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) Definición porcentual de la cantidad de
empleados y colaboradores que han
recibido el entrenamiento sobre la
política de contraseñas seguras y el buen
uso de la información de autenticación
secreta de la entidad.
48
2) Definición porcentual de la cantidad de
empleados y colaboradores que han
participado en las charlas informativas
para la divulgación de cambios (si los
hay) en la política de contraseñas
seguras y el buen uso de la información
de autenticación secreta de la entidad.
Especificación de medida derivada
Función de medición Definir un Umbral porcentual de Cumplimiento
para cada trimestre de medición durante los
primeros cuatro trimestres después de estos
cuatro trimestres el umbral se define por el
modelo analítico de este indicador de gestión,
1) Contar el número de personas con:
Atributo: estado del personal con
respecto al entrenamiento inicial - >
(Completo).
Y dividir esta cantidad entre el número
total de empleados y colaboradores de la
entidad, multiplicar el resultado por 100.
Realizar la evaluación dependiendo el
umbral definido.
2) Contar el número de personas con:
Atributo: estado del personal con
respecto a las Charlas informativas - >
(Si Participó, Sin cambios)
Y dividir esta cantidad entre el número
el número de personas con
Atributo: estado del personal con
respecto al entrenamiento inicial - >
(Completo), multiplicar el resultado por
100.
Realizar la evaluación según el modelo
analítico.
49
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(rojo, amarillo, verde) definidos por el Modelo
analítico.
Reportes realizados trimestralmente tanto para
el plan de entrenamiento, como para el plan de
divulgación de cambios.
Modelo analítico 0-60% - Rojo; 61-90% - Amarillo; 91-100%
Verde
Especificación de los modelos de decisión
Criterios de decisión Rojo - se requiere intervención, es necesario
efectuar un análisis de las causas para
determinar las razones del no cumplimiento o
rendimiento pobre
Amarillo - se recomienda que se siga de cerca
este indicador por la posibilidad de que se
deslice a Rojo
Verde - no se requiere acción, continuar con el
proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en Rojo o Amarillo. Las acciones correctivas
son Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad, Gerente de Recursos
Humanos.
Propietario de la información Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección.
Recolector de la información Gerencia de Recursos humanos.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
50
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
A.9.4 CONTROL DE ACCESO A SISTEMAS Y APLICACIONES
Tabla 13. Medición para control de acceso a sistemas y aplicaciones
Identificación de la estructura de medición
Nombre de la estructura de medición Verificación del control de acceso a sistemas y
aplicaciones de la entidad
Identificador numérico 9.4
Propósito de la estructura de
medición
El indicador busca identificar la existencia de
lineamientos, normas o estándares en cuanto al
control de acceso a sistemas y aplicaciones en la
entidad, permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con el proceso para el ingreso seguro a los
sistemas de información y aplicaciones de la entidad, teniendo en cuenta los requisitos del
negocio y de seguridad de la información.
Objetivo del control / proceso A.9.4 Control de acceso a sistemas y
aplicaciones
Objetivo: Evitar el acceso no autorizado a
sistemas y aplicaciones.
Control(1)/proceso(1) A.9.4.1 Restricción de acceso Información
Control: El acceso a la información y a las
funciones de los sistemas de las aplicaciones se
debería restringir de acuerdo con la política de
control de acceso.
Control(2)/proceso(2) A.9.4.2 Procedimiento de ingreso seguro
Control: Cuando lo requiere la política de
control de acceso, el acceso a sistemas y
aplicaciones se debería controlar mediante un
proceso de ingreso seguro.
51
Control(3)/proceso(3) A.9.4.3 Sistema de gestión de contraseñas
Control: Los sistemas de gestión de contraseñas
deberían ser interactivos y deberían asegurar la
calidad de las contraseñas.
Control(4)/proceso(4) A.9.4.4 Uso de programas utilitarios
privilegiados
Control: Se debería restringir y controlar
estrictamente el uso de programas utilitarios que
pudieran tener capacidad de anular el sistema y
los controles de las aplicaciones.
Control(5)/proceso(5) A.9.4.5 Control de acceso a códigos fuente de
programas
Control: Se debería restringir el acceso a los
códigos fuente de los programas.
Objeto de medición y atributos
Objeto de medición Procedimiento para ingreso seguro a los
sistemas de información
Procedimiento de Gestión de Usuarios y
Contraseñas
Atributo Preguntas puntuales para determinar si existen
lineamientos, normas o estándares en cuanto al
control de acceso a sistemas de información y
aplicaciones en la entidad.
1) ¿La entidad ha definido lineamientos,
normas y/o estándares para controlar el
acceso de los usuarios a sus servicios de
Gobierno en línea y a sus redes de
comunicaciones? (SI se evidencia o NO
se evidencia)
2) ¿La entidad ha definido lineamientos,
normas y/o estándares para controlar el
uso y el acceso a los sistemas de
información, las aplicaciones y los
depósitos de información con las que
cuenta la entidad? (SI se evidencia o NO
se evidencia)
3) ¿La entidad ha definido lineamientos,
normas y/o estándares para controlar las
terminales móviles y accesos remotos a
52
los recursos de la entidad? (SI se
evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
53
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
54
A.10 CRIPTOGRAFÍA
A.10.1 CONTROLES CRIPTOGRÁFICOS
Tabla 14. Medición para controles criptográficos
Identificación de la estructura de medición
Nombre de la estructura de medición Garantizar la disponibilidad, integridad y
confidencialidad de la información con el buen
uso de la criptografía.
Identificador numérico 10.1
Propósito de la estructura de
medición
El indicador busca garantizar la disponibilidad,
confidencialidad e integridad de la información
realizando un buen uso de la criptografía, a su
vez permite determinar y hacer seguimiento, al
compromiso de la gerencia de seguridad y la
alta dirección, en cuanto a seguridad de la
información, en lo relacionado con los
procedimientos de controles criptográficos y de
gestión de llaves criptográficas.
Objetivo del control / proceso A.10.1 Controles criptográficos
Objetivo: Asegurar el uso apropiado y eficaz de
la criptografía para proteger la confidencialidad,
la autenticidad y/o la integridad de la
información.
Control(1)/proceso(1) A.10.1.1 Política sobre el uso de controles
criptográficos
Control: Se debería desarrollar e implementar
una política sobre el uso de controles
criptográficos para la protección de la
información.
Control(2)/proceso(2) A.10.1.2 Gestión de llaves
Control: Se debería desarrollar e implementar
una política sobre el uso, protección y tiempo de
vida de las llaves criptográficas durante todo su
ciclo de vida.
Objeto de medición y atributos
Objeto de medición Procedimiento de controles criptográficos
Procedimiento de Gestión de llaves
criptográficas
55
Atributo Preguntas puntuales para determinar si los
Procedimientos de controles criptográficos y de
Gestión de llaves criptográficas de la entidad
son los indicados para garantizar el
cumplimiento de la política general de
seguridad y privacidad de la información.
1) ¿Dentro del Procedimiento de controles
criptográficos de la entidad se indica
cómo se utilizara la criptografía dentro
de los sistemas de información de la
entidad, esto con el fin de garantizar su
disponibilidad, integridad y
confiabilidad? (SI se evidencia o NO se
evidencia)
2) ¿Dentro del Procedimiento de controles
criptográficos de la entidad se especifica
la complejidad de los controles
criptográficos a emplear y se verifica
que sean acordes a la criticidad de la
información que circula a través de la
red o que se encuentre alojada en un
sistema de información de la entidad?
(SI se evidencia o NO se evidencia)
3) ¿Dentro del Procedimiento de Gestión
de llaves criptográficas de la entidad (si
aplica) se describe el ciclo de vida de las
llaves criptográficas desde que se crean
hasta que se distribuyen de manera
segura a cada usuario o aplicación? (SI
se evidencia o NO se evidencia)
4) ¿ Dentro del Procedimiento de Gestión
de llaves criptográficas de la entidad (si
aplica) se mencionan aspectos como la
creación de las llaves, la obtención de
certificados, el almacenamiento seguro
de las llaves, la actualización o cambio
de las llaves y la revocación y
recuperación de las llaves? (SI se
evidencia o NO se evidencia)
56
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
4) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
4) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
57
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
58
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO
A.11.1 ÁREAS SEGURAS
Tabla 15. Medición para áreas seguras
Identificación de la estructura de medición
Nombre de la estructura de medición Verificación del control de acceso físico en la
entidad
Identificador numérico 11.1
Propósito de la estructura de
medición
El indicador busca identificar la existencia de
lineamientos, normas o estándares en cuanto al
control de acceso físico en la entidad, permite
determinar y hacer seguimiento, al compromiso
de la gerencia de seguridad y la alta dirección,
en cuanto a seguridad de la información, en lo
relacionado con el proceso de control de acceso
físico de la entidad, teniendo en cuenta los
requisitos del negocio y de seguridad de la
información.
Objetivo del control / proceso A.11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no
autorizado, el daño y la interferencia a la
información y a las instalaciones de
procesamiento de información de la
organización.
Control(1)/proceso(1) A.11.1.1 Perímetro de seguridad física
Control: Se deberían definir y usar perímetros
de seguridad, y usarlos para proteger áreas que
contengan información sensible o critica, e
instalaciones de manejo de información.
Control(2)/proceso(2) A.11.1.2 Controles físicos de entrada
Control: Las áreas seguras se deberían proteger
mediante controles de entrada apropiados para
asegurar que solamente se permite el acceso a
personal autorizado.
Control(3)/proceso(3) A.11.1.3 Seguridad de oficinas, recintos e
instalaciones
Control: Se debería diseñar y aplicar seguridad
física a oficinas, recintos e instalaciones.
59
Control(4)/proceso(4) A.11.1.4 Protección contra amenazas externas y
ambientales
Control: Se debería diseñar y aplicar protección
física contra desastres naturales, ataques
maliciosos o accidentes.
Control(5)/proceso(5) A.11.1.5 Trabajo en áreas seguras
Control: Se deberían diseñar y aplicar
procedimientos para trabajo en áreas seguras.
Control(6)/proceso(6) A.11.1.6 Áreas de despacho y carga
Control: Se deberían controlar los puntos de
acceso tales como áreas de despacho y de carga,
y otros puntos en donde pueden entrar personas
no autorizadas, y si es posible, aislarlos de las
instalaciones de procesamiento de información
para evitar el acceso no autorizado.
Objeto de medición y atributos
Objeto de medición Procedimiento de control de acceso Físico
Atributo Preguntas puntuales para determinar si el
Procedimiento de control de acceso Físico de la
entidad es el indicado para garantizar el
cumplimiento de la política general de
seguridad y privacidad de la información.
1) ¿Dentro del Procedimiento de control de
acceso Físico de la entidad se
especifican los controles que se tienen
para garantizar un acceso seguro a las
instalaciones de la entidad para personal
autorizado? (SI se evidencia o NO se
evidencia)
2) ¿Dentro del Procedimiento de control de
acceso Físico de la entidad se contempla
la solicitud de permisos a áreas
restringidas, especificando quien es el
encargado de otorgar el permiso y el
proceso que se debe seguir para realizar
la solicitud? (SI se evidencia o NO se
evidencia)
60
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
61
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.11.2 EQUIPOS
Tabla 16. Medición para equipos
Identificación de la estructura de medición
Nombre de la estructura de medición Protección, Mantenimiento y Retiro de Activos
Identificador numérico 11.2
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con los procesos de Protección, Mantenimiento
y Retiro de Activos dentro de la entidad.
Objetivo del control / proceso A.11.2 Equipos
Objetivo: Prevenir la perdida, daño, robo o
compromiso de activos, y la interrupción de las
operaciones de la organización.
Control(1)/proceso(1) A.11.2.1 Ubicación y protección de los equipos
Control: Los equipos deberían estar ubicados y
protegidos para reducir los riesgos de amenazas
y peligros del entorno, y las oportunidades para
acceso no autorizado.
Control(2)/proceso(2) A.11.2.2 Servicios de suministro
Control: Los equipos se deberían proteger
contra fallas de energía y otras interrupciones
causadas por fallas en los servicios de
suministro.
Control(3)/proceso(3) A.11.2.3 Seguridad del cableado
Control: El cableado de potencia y de
telecomunicaciones que porta datos o soporta
62
servicios de información debería estar protegido
contra interceptación, interferencia o daño.
Control(4)/proceso(4) A.11.2.4 Mantenimiento de equipos
Control: Los equipos se deberían mantener
correctamente para asegurar su disponibilidad e
integridad continuas.
Control(5)/proceso(5) A.11.2.5 Retiro de activos
Control: Los equipos, información o software
no se deberían retirar de su sitio sin autorización
previa.
Control(6)/proceso(6) A.11.2.6 Seguridad de equipos y activos fuera
de las instalaciones
Control: Se deberían aplicar medidas de
seguridad a los activos que se encuentran fuera
de las instalaciones de la organización, teniendo
en cuenta los diferentes riesgos de trabajar fuera
de dichas instalaciones.
Control(7)/proceso(7) A.11.2.7 Disposición segura o reutilización de
equipos
Control: Se deberían verificar todos los
elementos de equipos que contengan medios de
almacenamiento, para asegurar que cualquier
dato sensible o software con licencia haya sido
retirado o sobrescrito en forma segura antes de
su disposición o reutilización.
Control(8)/proceso(8) A.11.2.8 Equipos de usuario desatendidos
Control: Los usuarios deberían asegurarse de
que a los equipos desatendidos se les de
protección apropiada.
Control(9)/proceso(9) A.11.2.9 Política de escritorio limpio y pantalla
limpia
Control: Se debería adoptar una política de
escritorio limpio para los papeles y medios de
almacenamiento removibles, y una política de
pantalla limpia en las instalaciones de
procesamiento de información.
63
Objeto de medición y atributos
Objeto de medición Procedimiento de Protección de Activos
Procedimiento de Retiro de Activos
Procedimiento de Mantenimiento de Activos
Atributo Preguntas puntuales para determinar si los procedimientos de Protección, Mantenimiento y
Retiro de Activos de la entidad son los
indicados para garantizar el cumplimiento de la
política general de seguridad y privacidad de la
información.
1) ¿Dentro del Procedimiento de
Protección de Activos de la entidad se
evidencian los pasos con los cuales los
activos son protegidos por la entidad,
contemplando su ubicación y los
controles a de seguridad aplicados? (SI
se evidencia o NO se evidencia)
2) ¿Dentro del Procedimiento de
Protección de Activos de la entidad se
contemplan los controles que se aplican
para minimizar los riesgos presentados
por desastres naturales, amenazas
físicas, daños, por polvo, agua,
interferencias, descargas eléctricas,
entre otros? (SI se evidencia o NO se
evidencia)
3) ¿Dentro del Procedimiento de Retiro de
Activos de la entidad se tiene un
lineamiento de autorización previa para
que los activos puedan ser retirados de
las instalaciones? (SI se evidencia o NO
se evidencia)
4) ¿Dentro del Procedimiento de Retiro de
Activos de la entidad se contemplan
controles de seguridad tales como
(controles criptográficos, cifrado de
discos, entre otros), para garantizar la
seguridad de la información mientras el
activo este fuera de las instalaciones?
(SI se evidencia o NO se evidencia)
5) ¿Dentro del Procedimiento de
Mantenimiento de Activos de la entidad
se especifica cómo se ejecutan los
64
mantenimientos preventivos y
correctivos dentro de la entidad,
indicando los intervalos en que estos
deberán realizarse? (SI se evidencia o
NO se evidencia)
6) ¿Dentro del Procedimiento de
Mantenimiento de Activos de la entidad,
se llevan registros en los cuales se
indique el personal que debe ejecutar el
mantenimiento y la fecha en la que se
debe llevar a cabo dicho
mantenimiento? (SI se evidencia o NO
se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
4) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
5) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
6) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
4) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
5) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
6) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
65
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
66
A.12 SEGURIDAD DE LAS OPERACIONES
A.12.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES
Tabla 17. Medición para procedimientos operacionales y responsabilidades
Identificación de la estructura de medición
Nombre de la estructura de medición Gestión de Procedimientos operacionales
Identificador numérico 12.1
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con los procesos de Gestión de Cambios,
Gestión de Capacidad y Separación de
Ambientes.
Objetivo del control / proceso A.12.1 Procedimientos operacionales y
responsabilidades
Objetivo: Asegurar las operaciones correctas y
seguras de las instalaciones de procesamiento
de información.
Control(1)/proceso(1) A.12.1.1 Procedimientos de operación
documentados
Control: Los procedimientos de operación se
deberían documentar y poner a disposición de
todos los usuarios que los necesiten.
Control(2)/proceso(2) A.12.1.2 Gestión de cambios
Control: Se deberían controlar los cambios en la
organización, en los procesos de negocio, en las
instalaciones y en los sistemas de
procesamiento de información que afectan la
seguridad de la información.
Control(3)/proceso(3) A.12.1.3 Gestión de capacidad
Control: Para asegurar el desempeño requerido
del sistema se debería hacer seguimiento al uso
de los recursos, hacer los ajustes, y hacer
proyecciones de los requisitos sobre la
capacidad futura.
67
Control(4)/proceso(4) A.12.1.4 Separación de los ambientes de
desarrollo, pruebas y operación
Control: Se deberían separar los ambientes de
desarrollo, prueba y operación, para reducir los
riesgos de acceso o cambios no autorizados al
ambiente de operación.
Objeto de medición y atributos
Objeto de medición Procedimiento de Gestión de Cambios
Procedimiento de Gestión de Capacidad
Procedimiento de Separación de Ambientes
Atributo Preguntas puntuales para determinar si los
procedimientos de Gestión de Cambios, Gestión
de Capacidad y Separación de Ambientes de la
entidad son los indicados para garantizar el
cumplimiento de la política general de
seguridad y privacidad de la información.
1) ¿Dentro del Procedimiento de Gestión
de Cambios de la entidad se especifica
cómo se realiza el control de cambios en
los procesos de negocio y los sistemas
de información de manera segura dentro
de la entidad? (SI se evidencia o NO se
evidencia)
2) ¿Dentro del Procedimiento de Gestión
de Cambios de la entidad se tienen en
cuenta aspectos como identificación y
registro de cambios significativos,
planificación y pruebas previas de los
cambios a realizar, valoración de
impactos, tiempos de no disponibilidad
del servicio, la comunicación a las áreas
pertinentes, Procedimientos de rollback,
entre otros? (SI se evidencia o NO se
evidencia)
3) ¿Dentro del Procedimiento de Gestión
de Capacidad de la entidad se especifica
cómo se realiza una gestión de
capacidad para los sistemas de
información críticos, teniendo en cuenta
si los recursos requeridos son escasos,
demorados en su arribo o costosos? (SI
se evidencia o NO se evidencia)
68
4) ¿Dentro del Procedimiento de Gestión
de Capacidad la entidad puede realizar
acciones como la eliminación de datos
obsoletos, cierre de aplicaciones,
ambientes y sistemas en desuso,
restricción de ancho de banda, entre
otros? (SI se evidencia o NO se
evidencia)
5) ¿Dentro del Procedimiento de
Separación de Ambientes de la entidad
se tienen definidos por separado los
ambientes de Pruebas y Producción para
las aplicaciones en desarrollo? (SI se
evidencia o NO se evidencia)
6) ¿Dentro del Procedimiento de
Separación de Ambientes de la entidad
se estipulan los requerimientos
necesarios para la transición entre
ambientes y la compatibilidad de los
desarrollos con diferentes sistemas? (SI
se evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
4) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
5) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
6) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
4) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
69
5) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
6) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
70
A.12.2 PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS
Tabla 18. Medición para protección contra códigos maliciosos
Identificación de la estructura de medición
Nombre de la estructura de medición Gestión de Códigos Maliciosos
Identificador numérico 12.2
Propósito de la estructura de
medición
El indicador permite determinar y hacer
seguimiento, al compromiso de la gerencia de
seguridad y la alta dirección, en cuanto a
seguridad de la información, en lo relacionado
con el proceso de Protección contra Códigos
Maliciosos.
Objetivo del control / proceso A.12.2 Protección contra códigos maliciosos
Objetivo: Asegurarse de que la información y
las instalaciones de procesamiento de
información estén protegidas contra códigos
maliciosos.
Control(1)/proceso(1) A.12.2.1 Controles contra códigos maliciosos
Control: Se deberían implementar controles de
detección, de prevención y de recuperación,
combinados con la toma de conciencia
apropiada de los usuarios, para proteger contra
códigos maliciosos.
Objeto de medición y atributos
Objeto de medición Procedimiento de Protección Contra Códigos
Maliciosos.
Atributo Preguntas puntuales para determinar si el
Procedimiento de Protección Contra Códigos
Maliciosos de la entidad es el indicado para
garantizar el cumplimiento de la política general
de seguridad y privacidad de la información.
1) ¿Dentro del Procedimiento de
Protección Contra Códigos Maliciosos
de la entidad se especifica cómo se
realiza la protección contra códigos
maliciosos teniendo en cuenta que
controles se utilizan (hardware o
Software) y como se instalan y se
actualizan las plataformas de detección
71
de códigos maliciosos? (SI se evidencia
o NO se evidencia)
2) ¿Dentro del Procedimiento de
Protección Contra Códigos Maliciosos
de la entidad se tienen definidos
procesos de recolección de información,
reporte y recuperación de ataques contra
software malicioso? (SI se evidencia o
NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
72
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.12.3 COPIAS DE RESPALDO
Tabla 19. Medición para copias de respaldo
Identificación de la estructura de medición
Nombre de la estructura de medición Verificación de copias de respaldo
Identificador numérico 12.3
Propósito de la estructura de
medición
La estructura de medición le permite a la
Entidad evaluar que se encuentre correctamente
implementada una política de copias d
seguridad de toda la información, teniendo en
cuenta que existen distintos tipos de copias de
seguridad (completa, diferencial, incremental,
espejo).
Objetivo del control / proceso A.12.3 Copias de respaldo
Objetivo: Proteger contra la pérdida de datos.
Control(1)/proceso(1) A.12.3.1 Respaldo de información
Control: Se deberían hacer copias de respaldo
de la información, del software e imágenes de
73
los sistemas, y ponerlas a prueba regularmente
de acuerdo con una política de copias de
respaldo aceptada.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
mejora continua de las copias de respaldo que
se llevan a cabo en la información de la Entidad.
1. Gestión de la disponibilidad de la
información
Indicar la manera correcta en que se
realiza el respaldo de la información, la
ubicación de la misma (soluciones en la
nube, servidores físicos internos y/o
externos), ya que esta es parte
fundamental para el desarrollo de la
Entidad para fines propios o con
terceros.
Atributo Preguntas puntales para realzar la verificación
de a implementación de los procedimientos
necesario en la continuidad de la seguridad de la
información en la Entidad.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para llevar a cabo la copia de
respaldo de la información de la
Entidad, teniendo en cuenta los distintos
tipos de respaldos que se puede llevar a
cabo y que son acordes con lo exigido
por la Gerencia de seguridad? (SI se
evidencia o NO se evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para realizar un “inventario”
de qué tipo de información, cantidad de
la misma debe tener copia de respaldo en
la Entidad? (SI se evidencia o NO se
evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
74
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Tecnologías
de la Información.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Tecnologías de la Información.
Recolector de la información Gerencia de seguridad.
75
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.12.4 REGISTRO Y SEGUIMIENTO
Tabla 20. Medición para registro y seguimiento
Identificación de la estructura de medición
Nombre de la estructura de medición Registro y seguimientos de eventos,
verificación de evidencia.
Identificador numérico 12.4
Propósito de la estructura de
medición
La estructura de medición permite verificar si
existe un correcto seguimiento de eventos
relacionados con la seguridad de la información
en la Entidad.
Objetivo del control / proceso A.12.4 Registro y seguimiento
Objetivo: Registrar eventos y generar evidencia.
Control(1)/proceso(1) A.12.4.1 Registro de eventos
Control: Se deberían elaborar, conservar y
revisar regularmente los registros acerca de
actividades del usuario, excepciones, fallas y
eventos de seguridad de la información.
Control(2)/proceso(2) A.12.4.2 Protección de la información de
registro
Control: Las instalaciones y la información de
registro se deberían proteger contra alteración y
acceso no autorizado.
Control(3)/proceso(3) A.12.4.3 Registros del administrador y del
operador
76
Control: Las actividades del administrador y del
operador del sistema se deberían registrar, y los
registros se deberían proteger y revisar con
regularidad.
Control(4)/proceso(4) A.12.4.4 sincronización de relojes
Control: Los relojes de todos los sistemas de
procesamiento de información pertinentes
dentro de una organización o ámbito de
seguridad se deberían sincronizar con una única
fuente de referencia de tiempo.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno al
manejo de registros y eventos en torno a la
seguridad de la información en la Entidad.
1. Gestión de registros de seguridad de la
información y seguimiento de los
mismos.
Es necesario en la organización elaborar
y revisar de manera periódica cada una
de las actividades de los usuarios,
eventos, y fallas en torno a la seguridad
de la información de la Entidad.
Atributo Preguntas puntales para realzar la verificación y
seguimiento de cada uno de los registros e
incidencias que se presentan en la Entidad,
entorno a la seguridad de la información.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para elaborar, conservar y
revisar regularmente los registros acerca
de actividades del usuario entorno a la
seguridad de la información en la
Entidad? (SI se evidencia o NO se
evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para que la información este
protegida contra alteración y acceso no
autorizado? (SI se evidencia o NO se
evidencia)
77
3) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para verificar que los relojes
de todos los sistemas de información de
la Entidad se sincronicen con única
fuente de referencia de tiempo, llevado a
cabo a través de la red de datos? (SI se
evidencia o NO se evidencia)
4) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para comprobar que las
actividades del administrador del
sistema de la Entidad se estén
registrando y estos se estén revisando
con regularidad? (SI se evidencia o NO
se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
4) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
4) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
78
Modelo analítico 0 - NO CUMPLE; 1 – CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Tecnologías
de la Información.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Tecnologías de la Información.
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
79
A.12.5 CONTROL DE SOFTWARE OPERACIONAL
Tabla 21. Medición para control de software operacional
Identificación de la estructura de medición
Nombre de la estructura de medición Control de software
Identificador numérico 12.5
Propósito de la estructura de
medición
La estructura de medición permite asegurar la
integridad y el correcto funcionamiento de los
sistemas de operacionales de la organización.
Es necesario mantener el control sobre el
software que se encuentra disponible, ya que a
través de este se puede ver vulnerada la
organización.
Objetivo del control / proceso A.12.5 Control de software operacional
Objetivo: Asegurar la integridad de los sistemas
operacionales.
Control(1)/proceso(1) A.12.5.1 Instalación de software en sistemas
operativos
Control: Se deberían implementar
procedimientos para controlar la instalación de
software en sistemas operativos.
Objeto de medición y atributos
Objeto de medición Totalidad de software implementado que
soporta el Core de negocio
1. Software de sistema
Dicho sistema es un conjunto de
programas que administran los recursos
del hardware y proporciona una interfaz
al usuario.
2. Software de programación
Es el conjunto de herramientas que
permiten al programador desarrollar
programas de informática, usando
diferentes alternativas y lenguajes de
programación, de una manera práctica.
3. Software de aplicación
Permite a los usuarios llevar a cabo una
o varias tareas específicas, en cualquier
campo de actividad susceptible de ser
80
automatizado o asistido, con especial
énfasis en los negocios.
Atributo Configuraciones específicas en el software
implementado.
1. Operativas del software: Factores de
funcionalidad
Usabilidad: Factor de
aprendizaje
Integridad: Calidad del software
Fiabilidad
Eficiencia: Forma en que el software utiliza los recursos
disponibles.
Seguridad
2. Transición del software
Interoperabilidad: capacidad para el intercambio de
información con otras
aplicaciones.
Reutilización: Utilizar el código de software con algunas
modificaciones para diferentes
propósitos.
Portabilidad: Capacidad para
llevar a cabo las mismas
funciones en todos los entornos
y plataformas.
3. Revisión del software: Factores de
ingeniería.
Capacidad de mantenimiento: El mantenimiento del software
debe ser fácil.
Flexibilidad: Los cambios en el software debe ser fácil de hacer.
Extensibilidad: Debe ser fácil de aumentar nuevas funciones.
Escalabilidad: Debe ser de fácil
actualización.
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1. Definición porcentual de la cantidad de
aplicaciones de software que se
encuentran implementadas.
81
2. Definición porcentual de la cantidad de
plataformas interoperables con las que
cuenta la compañía.
3. Definición porcentual de la cantidad de
avances en nuevas funcionalidades para
aplicaciones escalables.
Especificación de medida derivada
Función de medición Definir un Umbral porcentual de Cumplimiento
para cada trimestre de medición durante los
primeros cuatro trimestres después de estos
cuatro trimestres el umbral se define por el
modelo analítico de este indicador de gestión,
1. Contar la cantidad de aplicaciones con:
Atributo: Operativas del software ->
(aplicaciones completamente
implementadas)
2. Contar la cantidad de aplicaciones con:
Atributo: Transición del software - >
(aplicaciones interoperables)
Y dividir esta cantidad entre el número
de aplicaciones con
Atributo: Operativas del software
Multiplicar el resultado por 100
Realizar la evaluación dependiendo el
umbral definido.
3. Contar la cantidad de aplicaciones con:
Atributo: Revisión del software (nuevas
funcionalidades aplicaciones escalables)
Y dividir esta cantidad entre el número
de aplicaciones con
Atributo: Operativas del software
Multiplicar el resultado por 100
Realizar la evaluación dependiendo el
umbral definido.
82
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(rojo, amarillo, verde) definidos por el Modelo
analítico.
Reportes realizados trimestralmente tanto para
el plan de entrenamiento, como para el plan de
divulgación de cambios.
Modelo analítico 0-60% - Rojo; 61-90% - Amarillo; 91-100%
Verde
Especificación de los modelos de decisión
Criterios de decisión Rojo - se requiere intervención, es necesario
efectuar un análisis de las causas para
determinar las razones del no cumplimiento o
rendimiento pobre.
Amarillo - se recomienda que se siga de cerca
este indicador por la posibilidad de que se
deslice a Rojo
Verde - no se requiere acción, continuar con el
proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en Rojo o Amarillo. Las acciones correctivas
son Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de tecnologías
de la información, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los proyectos de
desarrollo de software en la Entidad.
Revisor de la medición Gerente de seguridad, Gerente de tecnologías de
la información.
Propietario de la información Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección
Recolector de la información Gerencia de Tecnologías de la Información.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
83
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
A.12.6 GESTIÓN DE LA VULNERABILIDAD TÉCNICA
Tabla 22. Medición para gestión de la vulnerabilidad técnica
Identificación de la estructura de medición
Nombre de la estructura de medición Vulnerabilidad técnica
Identificador numérico 12.6
Propósito de la estructura de
medición
La estructura de medición permite prevenir el
aprovechamiento de las distintas
vulnerabilidades técnicas que puedan
presentarse en la Entidad, manteniendo así el
control de las mismas las cuales están presentes
tanto en el Hardware como en el Software.
Objetivo del control / proceso A.12.6 Gestión de la vulnerabilidad técnica
Objetivo: Prevenir el aprovechamiento de las
vulnerabilidades técnicas.
Control(1)/proceso(1) A.12.6.1 Gestión de las vulnerabilidades
técnicas
Control: Se debería obtener oportunamente
información acerca de las vulnerabilidades
técnicas de los sistemas de información que se
usen; evaluar la exposición de la organización a
estas vulnerabilidades, y tomar las medidas
apropiadas para tratar el riesgo asociado.
Control(2)/proceso(2) A.12.6.2 Restricciones sobre la instalación de
software
Control: Se deberían establecer e implementar
las reglas para la instalación de software por
parte de los usuarios.
84
Objeto de medición y atributos
Objeto de medición Totalidad de vulnerabilidades técnicas que se
pueden encontrar en la Entidad.
1. Vulnerabilidad de Diseño
Representan la probabilidad de
encontrar errores en el diseño de
protocolos usados en las redes de datos
y/o políticas de seguridad deficiente.
2. Vulnerabilidad de Implementación
Representa la probabilidad de encontrar
errores de programación o puertas
traseras en los sistemas informáticos.
3. Vulnerabilidad de Uso
Representan la probabilidad de
encontrar configuraciones inadecuadas
en los sistemas informáticos.
Atributo Configuraciones especificas en las
vulnerabilidades existentes.
1. Vulnerabilidades en Redes de Datos
Al tratarse de una serie de equipos
conectados entre sí que comparten
recursos, es posible atacar toda la red.
2. Vulnerabilidades de Software
Representa la probabilidad de un
programa que puede ser usado como
medio para atacar a un sistema más
grande, debido a errores de
programación, o aspectos como
controles de acceso, o controles de
seguridad.
3. Vulnerabilidades en Configuraciones
Representa la probabilidad de encontrar
configuraciones de Software erradas
teniendo en cuenta las amenazas a las
cuales se encuentren expuestos los
Sistemas de Información.
85
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1. Definición porcentual de la cantidad de
vulnerabilidades controladas en la Red
de Datos.
2. Definición porcentual de la cantidad de
vulnerabilidades controladas en el
Software implementado en la Entidad.
3. Definición porcentual de la cantidad de
vulnerabilidades controladas en las
distintas Configuraciones en el Software
implementado.
Especificación de medida derivada
Función de medición Definir un Umbral porcentual de Cumplimiento
para cada trimestre de medición durante los
primeros cuatro trimestres después de estos
cuatro trimestres el umbral se define por el
modelo analítico de este indicador de gestión.
1. Contar la cantidad de vulnerabilidades
de red con:
Atributo: Vulnerabilidades en Redes de
Datos -> (inconsistencia controladas en
redes de datos)
Y dividir esta cantidad entre el número
de ítems evaluados.
Multiplicar el resultado por 100
Realizar la evaluación dependiendo el
umbral definido.
2. Contar la cantidad de vulnerabilidades
de software con:
Atributo: Vulnerabilidades de Software
-> (inconsistencias controladas en el
Software implementado)
Y dividir esta cantidad entre el número
de ítems evaluados.
Multiplicar el resultado por 100
Realizar la evaluación dependiendo el
umbral definido.
86
3. Contar la cantidad de vulnerabilidades
en configuraciones con:
Atributo: Vulnerabilidades en
configuraciones -> (inconsistencias
controladas en las configuraciones del
Software implementado)
Y dividir esta cantidad entre el número
de ítems evaluados.
Multiplicar el resultado por 100
Realizar la evaluación dependiendo el
umbral definido.
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(rojo, amarillo, verde) definidos por el Modelo
analítico.
Reportes realizados trimestralmente tanto para
el plan de entrenamiento, como para el plan de
divulgación de cambios.
Modelo analítico 0-60% - Rojo; 61-90% - Amarillo; 91-100%
Verde
Especificación de los modelos de decisión
Criterios de decisión Rojo - se requiere intervención, es necesario
efectuar un análisis de las causas para
determinar las razones del no cumplimiento o
rendimiento pobre.
Amarillo - se recomienda que se siga de cerca
este indicador por la posibilidad de que se
deslice a Rojo
Verde - no se requiere acción, continuar con el
proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en Rojo o Amarillo. Las acciones correctivas
son Específicas de la Entidad.
87
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de tecnologías
de la información, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los proyectos de
desarrollo de software en la Entidad.
Revisor de la medición Gerente de seguridad, Gerente de tecnologías de
la información.
Propietario de la información Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección
Recolector de la información Gerencia de Tecnologías de la Información.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes.
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
A.12.7 CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE
INFORMACIÓN
Tabla 23. Medición para consideraciones sobre auditorias de sistemas de información
Identificación de la estructura de medición
Nombre de la estructura de medición Auditorías de sistemas de información
Identificador numérico 12.7
Propósito de la estructura de
medición
La estructura de medición tiene como propósito
realizar la evaluación de los distintos criterios
que se deben tener en cuenta para realizar
auditorías sobre los sistemas de información.
Objetivo del control / proceso A.12.7 Consideraciones sobre auditorias de
sistemas de información
Objetivo: Minimizar el impacto de las
actividades de auditoría sobre los sistemas
operacionales.
Control(1)/proceso(1) A.12.7.1 Información controles de auditoría de
sistemas
88
Control: Los requisitos y actividades de
auditoría que involucran la verificación de los
sistemas operativos se deberían planificar y
acordar cuidadosamente para minimizar las
interrupciones en los procesos del negocio.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems evaluados en la revisión de
adquisición y mantenimiento de Sistemas
operativos (S.O.) en la Entidad.
1. Análisis de la relación costo/beneficio
del S.O.
Se revisa el análisis costo/beneficio y las
alternativas y determinar si cada una de
estas fue evaluada adecuadamente.
2. Instalación del S.O.
Se revisa el plan o procedimiento para la
prueba del sistema, determinar si las
pruebas se realizaron de acuerdo a ese
plan y en forma exitosa.
3. Mantenimiento del S.O.
Se revisa la documentación relacionada
con el mantenimiento o upgrade del
software.
4. Seguridad del S.O.
Se revisan los procedimientos para el
acceso al software del sistema y a su
documentación.
Atributo Puntos específicos evaluar en la auditoria de los
Sistemas Operativos implementados.
1. Análisis Costo/Beneficio
Análisis de la capacidad del software
para cumplir con los requisitos técnicos
de la Entidad.
2. Análisis instalación de Sistema
Operativo
Análisis del tipo de configuraciones
realizadas en la instalación de los
Sistemas Operativos implementados
según lo exigido por la Entidad.
89
3. Análisis mantenimiento de Sistema
Operativo
Análisis de los procedimientos de
mantenimiento, con relación a tiempos y
tipo de mantenimiento que se ha llevado
a cabo realizado según lo exigido por la
Entidad.
4. Seguridad en el Sistema Operativo
Análisis de procedimientos y
restricciones para usuarios finales de
realizar cambios sobre el Sistema según
lo exigido por la Entidad.
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1. Definición porcentual de la cantidad de
requisitos técnicos que se cumplen, con
respecto a los exigidos por la Entidad.
2. Definición porcentual de la cantidad de
configuraciones exigidas por la Entidad
que han sido implementadas.
3. Definición porcentual de la cantidad de
mantenimientos realizados para el
Sistema Operativo según lo exigido en
la Entidad.
4. Definición porcentual de la cantidad de
restricciones implementadas en el
sistema según lo exigido por la Entidad.
Especificación de medida derivada
Función de medición Definir un Umbral porcentual de Cumplimiento
para cada trimestre de medición durante los
primeros cuatro trimestres después de estos
cuatro trimestres el umbral se define por el
modelo analítico de este indicador de gestión.
1. Contar la cantidad de requisitos técnicos
que se cumplen con:
Atributo: Análisis Costo/Beneficio ->
(cumplimiento de requisitos técnicos)
Y dividir esta cantidad entre el número
de ítems exigidos.
Multiplicar el resultado por 100
Realizar la evaluación dependiendo el
umbral definido.
90
2. Contar la cantidad de configuraciones
implementadas en el Sistema operativo
con:
Atributo: Análisis instalación de
Sistema Operativo -> (cumplimiento de
configuraciones implementadas
exigidas)
Y dividir esta cantidad entre el número
de ítems exigidos.
Multiplicar el resultado por 100
Realizar la evaluación dependiendo el
umbral definido.
3. Contar la cantidad de mantenimientos
realizados al Sistema Operativo con:
Atributo: Análisis mantenimiento de
Sistema Operativo -> (cumplimiento de
mantenimientos a Sistemas Operativos)
Y dividir esta cantidad entre el número
de mantenimientos exigidos.
Multiplicar el resultado por 100.
4. Contar la cantidad de restricciones
implementadas al Sistema Operativo
con:
Atributo: Seguridad en el Sistema
Operativo
-> (cumplimiento de restricciones
exigidas sobre el Sistema Operativo)
Y dividir esta cantidad entre el número
de ítems exigidos.
Multiplicar el resultado por 100.
Realizar la evaluación dependiendo el umbral
definido.
91
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(rojo, amarillo, verde) definidos por el Modelo
analítico.
Reportes realizados trimestralmente tanto para
el plan de entrenamiento, como para el plan de
divulgación de cambios.
Modelo analítico 0-60% - Rojo; 61-90% - Amarillo; 91-100%
Verde
Especificación de los modelos de decisión
Criterios de decisión Rojo - se requiere intervención, es necesario
efectuar un análisis de las causas para
determinar las razones del no cumplimiento o
rendimiento pobre.
Amarillo - se recomienda que se siga de cerca
este indicador por la posibilidad de que se
deslice a Rojo
Verde - no se requiere acción, continuar con el
proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en Rojo o Amarillo. Las acciones correctivas
son Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de tecnologías
de la información, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los proyectos de
desarrollo de software en la Entidad.
Revisor de la medición Gerente de seguridad, Gerente de tecnologías de
la información.
Propietario de la información Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección
Recolector de la información Gerencia de Tecnologías de la Información.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes.
92
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
93
A.13 SEGURIDAD DE LAS COMUNICACIONES
A.13.1 GESTIÓN DE LA SEGURIDAD DE LAS REDES
Tabla 24. Medición para gestión de la seguridad de las redes
Identificación de la estructura de medición
Nombre de la estructura de medición Seguridad de la información contenida en las
redes de la organización
Identificador numérico 13.1
Propósito de la estructura de
medición
La estructura de medición permite realizar la
respectiva gestión, asegurar la protección de
información en las redes de datos de la Entidad.
Objetivo del control / proceso A.13.1 Gestión de la seguridad de las redes
Objetivo: Asegurar la protección de la
información en las redes, y sus instalaciones de
procesamiento de información de soporte.
Control(1)/proceso(1) A.13.1.1 Controles de redes
Control: Las redes se deberían gestionar y
controlar para proteger la información en
sistemas y aplicaciones.
Control(2)/proceso(2) A.13.1.2 Seguridad de los servicios de red
Control: Se deberían identificar los mecanismos
de seguridad, los niveles de servicio y los
requisitos de gestión de todos los servicios de
red, e incluirlos en los acuerdos de servicios de
red, ya sea que los servicios se presten
internamente o se contraten externamente.
Control(3)/proceso(3) A.13.1.3 Separación en las redes
Control: Los grupos de servicios de
información, usuarios y sistemas de
información se deberían separar en las redes.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
seguridad de redes de datos.
1. Aseguramiento de servicios en la red
Explica la manera en que la entidad
protege la información en las redes,
indicando los controles de seguridad que
se aplican para acceder a la red.
94
Atributo Preguntas puntuales para realizar la verificación
de la implementación de los procedimientos
necesarios en la correcta implementación y uso
de la seguridad en las comunicaciones en la
Entidad.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los distintos controles de
seguridad que se aplican al momento de
acceder a la red de datos? (SI se
evidencia implementación o NO se
evidencia implementación)
2) ¿Dentro de la Entidad se hace uso de
registros (logs) que permiten realizar el
seguimiento de acciones sospechosas en
la red de datos?
Se debe profundizar sobre la respuesta de cada
empleado que haya sido escogido dentro del
muestreo.
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) Definición porcentual de la cantidad de
empleados en los que (SI se evidencia
uso) de controles de seguridad que se
aplican al momento de acceder a la red
de datos que garanticen el buen uso de la
misma dentro de la política general de
seguridad y privacidad de la
información de la Entidad.
2) Definición porcentual de la cantidad de
Sistemas de Información en los que (SI
se evidencia uso) de registros (logs) que
permiten realizar el seguimiento de
acciones sospechosas en la red de datos
dentro de la política general de
seguridad y privacidad de la
información de la entidad.
Especificación de medida derivada
Función de medición Umbral definido por el modelo analítico de este
indicador de gestión,
1) Contar el número de personas con:
95
Atributo: (SI se evidencia
implementación) controles de seguridad
que se aplican al momento de acceder a
la red de datos dentro de la política
general de seguridad y privacidad de la
información de la entidad.
Y dividir esta cantidad entre el número
total de la muestra tomada para la
evaluación, multiplicar el resultado por
100.
2) Contar el número de personas con:
Atributo: (SI se evidencia
implementación) registros (logs) que
permiten realizar el seguimiento de
acciones sospechosas en la red de datos
dentro de la política general de
seguridad y privacidad de la
información de la entidad.
Y dividir esta cantidad entre el número
total de la muestra tomada para la
evaluación, multiplicar el resultado por
100.
Realizar la evaluación dependiendo el umbral
definido.
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0-90% - NO CUMPLE; 91-100% - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
96
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad.
Propietario de la información Gerencia de seguridad, La alta dirección
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Mensual
Frecuencia del informe de los
resultados de la medición
Mensual
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
A.13.2 TRANSFERENCIA DE INFORMACIÓN
Tabla 25. Medición para transferencia de información
Identificación de la estructura de medición
Nombre de la estructura de medición Control de la transferencia de información a
entidades externas.
Identificador numérico 13.2
Propósito de la estructura de
medición
Vigilar que se mantenga la seguridad de la
información transferida entre usuarios de la
Entidad y la transferencia entre Entidades
externas.
Objetivo del control / proceso A.13.2 Transferencia de información
Objetivo: Mantener la seguridad de la
información transferida dentro de una
organización y con cualquier entidad externa.
97
Control(1)/proceso(1) A.13.2.1 Políticas y procedimientos de
transferencia de información
Control: Se debería contar con políticas,
procedimientos y controles de transferencia
formales para proteger la transferencia de
información mediante el uso de todo tipo de
instalaciones de comunicación.
Control(2)/proceso(2) A.13.2.2 Acuerdos sobre transferencia de
información
Control: Los acuerdos deberían tener en cuenta
la transferencia segura de información del
negocio entre la organización y las partes
externas.
Control(3)/proceso(4) A.13.2.3Mensajería electrónica
Control: Se debería proteger adecuadamente la
información incluida en la mensajería
electrónica.
Control(4)/proceso(5) A.13.2.4 Acuerdos de confidencialidad o de no
divulgación
Control: Se deberían identificar, revisar
regularmente y documentar los requisitos para
los acuerdos de confidencialidad o no
divulgación que reflejen las necesidades de la
organización para la protección de la
información.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
seguridad de redes de datos.
1. Transferencia de información
Indica como realiza la transmisión o
transferencia de la información de
manera segura dentro de la entidad o con
entidades externas, donde se apliquen
métodos para proteger la información de
interceptación, copiado, modificación
y/o destrucción.
Atributo Preguntas puntuales para realizar la verificación
de la implementación de los procedimientos
necesarios en la correcta implementación y uso
de la transferencia de información en la Entidad.
98
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para realizar la transferencia
de información de manera segura dentro
de la misma Entidad o Entidades
externas? (SI se evidencia
implementación o NO se evidencia
implementación)
2) ¿Dentro de la Entidad se tienen acuerdos
de confidencialidad y no divulgación
entre las partes que hacen uso de la
información que se ha transferido? (SI
se evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
99
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad.
Propietario de la información Gerencia de seguridad, La alta dirección
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Mensual
Frecuencia del informe de los
resultados de la medición
Mensual
Revisión de la medición Revisar Mensualmente
Período de medición Anual
Los autores
100
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS
A.14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
Tabla 26. Medición para requisitos de seguridad de los sistemas de información
Identificación de la estructura de medición
Nombre de la estructura de medición Seguridad de los sistemas de información
Identificador numérico 14.1
Propósito de la estructura de
medición
La estructura de medición permite verificar que
se ha asegurado dentro de la Entidad que la
seguridad de la información es parte integral de
los sistemas de información implementados y es
importante durante todo el ciclo de vida de los
mismos.
Objetivo del control / proceso A.14.1 Requisitos de seguridad de los sistemas
de información
Objetivo: Asegurar que la seguridad de la
información sea una parte integral de los
sistemas de información durante todo el ciclo de
vida. Esto incluye también los requisitos para
sistemas de información que prestan servicios
en redes públicas.
Control(1)/proceso(1) A.14.1.1 Análisis y especificación de requisitos
de seguridad de la información
Control: Los requisitos relacionados con
seguridad de la información se deberían incluir
en los requisitos para nuevos sistemas de
información o para mejoras a los sistemas de
información existentes.
Control(2)/proceso(2) A.14.1.2 Seguridad de servicios de las
aplicaciones en redes publicas
Control: La información involucrada en los
servicios de aplicaciones que pasan sobre redes
públicas se debería proteger de actividades
fraudulentas, disputas contractuales y
divulgación y modificación no autorizadas.
Control(3)/proceso(3) A.14.1.3 Protección de transacciones de los
servicios de las aplicaciones
101
Control: La información involucrada en las
transacciones de los servicios de las
aplicaciones se debería proteger para evitar la
transmisión incompleta, el enrutamiento errado,
la alteración no autorizada de mensajes, la
divulgación no autorizada, y la duplicación o
reproducción de mensajes no autorizada.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
seguridad de los sistemas de información.
1. Adquisición, desarrollo y
mantenimiento de software
Describe como se realiza la gestión de la
seguridad de la información en los
sistemas desarrollados internamente
(inhouse) o adquiridos a un tercero,
verificando que cada uno de ellos
preserve la confidencialidad, integridad
y disponibilidad de la información de la
entidad.
Atributo Preguntas puntales para realizar la verificación
de la implementación de los procedimientos
necesarios en la verificación de la seguridad de
los sistemas de información en la Entidad.
1) ¿Se ha definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para la adquisición de
Software que cumpla con los cuatro
principios de la seguridad de la
información (Confidencialidad,
integridad, disponibilidad)? (SI se
evidencia o NO se evidencia)
2) ¿Se ha definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para la selección de los
ambientes de desarrollo en aplicaciones
inhouse? (SI se evidencia o NO se
evidencia)
102
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Tecnologías
de la Información.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Tecnologías de la Información.
Recolector de la información Gerencia de seguridad.
103
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.14.2 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
Tabla 27. Medición para seguridad en los procesos de desarrollo y soporte
Identificación de la estructura de medición
Nombre de la estructura de medición Procesos de desarrollo y soporte
Identificador numérico 14.2
Propósito de la estructura de
medición
Verificar que se efectúen los controles
respectivos a la seguridad en los procesos de
desarrollo y soporte en la Entidad.
Objetivo del control / proceso A.14.2 Seguridad en los procesos de desarrollo
y soporte
Objetivo: Asegurar de que la seguridad de la
información esté diseñada e implementada
dentro del ciclo de vida de desarrollo de los
sistemas de información.
Control(1)/proceso(1) A.14.2.1 Política de desarrollo seguro
Control: Se deberían establecer y aplicar reglas
para el desarrollo de software y de sistemas, a
los desarrollos que se dan dentro de la
organización.
Control(2)/proceso(2) A.14.2.2 Procedimientos de control de cambios
en sistemas
Control: Los cambios a los sistemas dentro del
ciclo de vida de desarrollo se deberían controlar
mediante el uso de procedimientos formales de
control de cambios.
Control(3)/proceso(3) A.14.2.3 Revisión técnica de las aplicaciones
después de cambios en la plataforma de
operación
104
Control: Cuando se cambian las plataformas de
operación, se deberían revisar las aplicaciones
críticas del negocio, y ponerlas a prueba para
asegurar que no haya impacto adverso en las
operaciones o seguridad de la organización.
Control(4)/proceso(4) A.14.2.4 Restricciones en los cambios a los
paquetes de software
Control: Se deberían desalentar las
modificaciones a los paquetes de software, que
se deben limitar a los cambios necesarios, y
todos los cambios se deberían controlar
estrictamente.
Control(5)/proceso(5) A.14.2.5 Principios de construcción de sistemas
seguros
Control: Se deberían establecer, documentar y
mantener principios para la construcción de
sistemas seguros, y aplicarlos a cualquier
actividad de implementación de sistemas de
información.
Control(6)/proceso(6) A.14.2.6 Ambiente de desarrollo seguro
Control: Las organizaciones deberían establecer
y proteger adecuadamente los ambientes de
desarrollo seguros para las tareas de desarrollo
e integración de sistemas que comprendan todo
el ciclo de vida de desarrollo de sistemas.
Control(7)/proceso(7) A.14.2.7 Desarrollo contratado externamente
Control: La organización debería supervisar y
hacer seguimiento de la actividad de desarrollo
de sistemas contratados externamente.
Control(8)/proceso(8) A.14.2.8 Pruebas de seguridad de sistemas
Control: Durante el desarrollo se deberían llevar
a cabo pruebas de funcionalidad de la seguridad.
Control(9)/proceso(9) A.14.2.9 Prueba de aceptación de sistemas
Control: Para los sistemas de información
nuevos, actualizaciones y nuevas versiones, se
deberían establecer programas de prueba para
105
aceptación y criterios de aceptación
relacionados.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
seguridad en los procesos de desarrollo y
soporte.
1. Control de software
Indica como realiza el control de
software, es decir, como limita el uso o
instalación de software no autorizado
dentro de la entidad, quienes están
autorizados para realizar la instalación
de software.
Atributo Preguntas puntuales para realizar la verificación
de la implementación de los procedimientos
necesarios en la seguridad de los procesos de
desarrollo y soporte en la Entidad.
1) ¿Se ha definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para restringir el uso de
aplicaciones no autorizadas dentro de la
Entidad? (SI se evidencia o NO se
evidencia)
2) ¿Se ha definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para gestionar las distintas
solicitudes de Software adicional para
los usuarios dentro de la Entidad? (SI se
evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
106
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 – CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Tecnologías
de la Información.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Tecnologías de la Información.
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
107
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.14.3 DATOS DE PRUEBA
Tabla 28. Medición para datos de prueba
Identificación de la estructura de medición
Nombre de la estructura de medición Protección de datos utilizados en las pruebas
Identificador numérico 14.3
Propósito de la estructura de
medición
La estructura de medición tiene como propósito
mantener la protección de cada uno de los datos
que han sido utilizados al momento de realizar
los diferentes tipos de pruebas en la Entidad.
Objetivo del control / proceso A.14.3 Datos de prueba
Objetivo: Asegurar la protección de los datos
usados para pruebas.
Control(1)/proceso(1) A.14.3.1 Protección de datos de prueba
Control: Los datos de ensayo se deberían
seleccionar, proteger y controlar
cuidadosamente.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
protección de los datos usados para realizar
pruebas.
1. Uso de datos personales
Indica cómo se deben manejar cada uno
de los datos personales de acuerdo a la
normatividad vigente en la legislación
Colombiana (Ley 1581 de 2012), por la
cual se dictan disposiciones generales
para la protección de datos personales.
Atributo Preguntas puntuales para realizar la verificación
de la implementación de los procedimientos
necesarios en el correcto uso de los distintos
datos que son utilizados para realizar pruebas en
la Entidad.
108
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para asegurar que se está
realizado la respectiva protección de los
datos que son utilizados para llevar a
cabo pruebas en la Entidad? (SI se
evidencia o NO se evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para asegurar que se está
realizado una buena selección de los
datos que se deberían seleccionar para
llevar a cabo las pruebas
correspondientes en la Entidad? (SI se
evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 – CUMPLE
109
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de Recursos
humanos, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad, Gerente de Tecnologías
de la Información y Gerente de Recursos
humanos.
Propietario de la información Gerencia de seguridad, La alta dirección,
Gerencia de Tecnologías de la Información y
Gerencia de Recursos humanos
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
110
A.15 RELACIÓN CON LOS PROVEEDORES
A.15.1 SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS
PROVEEDORES
Tabla 29. Medición para seguridad de la información en las relaciones con los proveedores
Identificación de la estructura de medición
Nombre de la estructura de medición Manejo de la información en las relaciones con
proveedores
Identificador numérico 15.1
Propósito de la estructura de
medición
Asegurar que el manejo de la información con
proveedores, sea seguro, teniendo en cuenta la
política de protección de datos de la Entidad.
Objetivo del control / proceso A.15.1 Seguridad de la información en las
relaciones con los proveedores
Objetivo: Asegurar la protección de los activos
de la organización que sean accesibles a los
proveedores.
Control(1)/proceso(1) A.15.1.1 Política de seguridad de la información
para las relaciones con proveedores
Control: Los requisitos de seguridad de la
información para mitigar los riesgos asociados
con el acceso de proveedores a los activos de la
organización se deberían acordar con estos y se
deberían documentar.
Control(2)/proceso(2) A.15.1.2 Tratamiento de la seguridad dentro de
los acuerdos con proveedores
Control: Se deberían establecer y acordar todos
los requisitos de seguridad de la información
pertinentes con cada proveedor que pueda tener
acceso, procesar, almacenar, comunicar o
suministrar componentes de infraestructura de
TI para la información de la organización.
Control(3)/proceso(3) A.15.1.3 Cadena de suministro de tecnología de
información y comunicación
Control: Los acuerdos con proveedores
deberían incluir requisitos para tratar los riesgos
de seguridad de la información asociados con la
111
cadena de suministro de productos y servicios
de tecnología de información y comunicación.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno al
manejo seguro de información para con los
proveedores.
1. Tratamiento de la seguridad en los
acuerdos con los proveedores
Indicar como la entidad establece,
acuerda, aprueba y divulga los
requerimientos y obligaciones
relacionados con la seguridad de la
información, tanto con los proveedores
como con la cadena de suministros que
estos tengan.
Atributo Preguntas puntuales para realizar la verificación
de la implementación de los procedimientos
necesarios en uso seguro de la información
manejada con proveedores en la Entidad.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para reducir los riesgos que
implica el acceso de proveedores a
información confidencial? (SI se
evidencia o NO se evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para establecer con los
proveedores acuerdos de
confidencialidad, procesamiento,
manejo y almacenamiento de la
información de propiedad de la Entidad?
(SI se evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
112
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, Gerencia
Administrativa, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad, Gerente de Tecnologías
de la Información y Gerente Administrativo.
Propietario de la información Gerencia de seguridad, La alta dirección,
Gerencia de Tecnologías de la Información y
Gerencia de Recursos humanos.
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
113
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.15.2 GESTIÓN DE LA PRESTACIÓN DE SERVICIOS CON LOS
PROVEEDORES
Tabla 30. Medición para gestión de la prestación de servicios con los proveedores
Identificación de la estructura de medición
Nombre de la estructura de medición Prestación de servicios con los proveedores
Identificador numérico 15.2
Propósito de la estructura de
medición
Verificar que se está manteniendo el nivel
acordado con respecto a la seguridad de la
información de los datos manejados con los
proveedores.
Objetivo del control / proceso A.15.2 Gestión de la prestación de servicios con
los proveedores
Objetivo: Mantener el nivel acordado de
seguridad de la información y de prestación del
servicio en línea con los acuerdos con los
proveedores.
Control(1)/proceso(1) A.15.2.1 Seguimiento y revisión de los
servicios de los proveedores
Control: Las organizaciones deberían hacer
seguimiento, revisar y auditar con regularidad la
prestación de servicios de los proveedores.
Control(2)/proceso(2) A.15.2.2 Gestión de cambios en los servicios de
proveedores
Control: Se deberían gestionar los cambios en el
suministro de servicios por parte de los
proveedores, incluido el mantenimiento y la
mejora de las políticas, procedimientos y
controles de seguridad de la información
existentes , teniendo en cuenta la criticidad de la
114
información, sistemas y procesos del negocio
involucrados, y la revaloración de los riesgos.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entrono a la
seguridad manejada con los proveedores.
1. Seguimiento de los servicios prestados
por los proveedores
Indica la manera en que se debe realizar
el seguimiento, la trazabilidad de cada
uno de los servicios que son contratados
con proveedores, de igual manera
conocer cómo se está manejando por
parte del proveedor los datos
suministrados.
Atributo Preguntas puntuales para realizar la verificación
de la implementación de los procedimientos
necesarios en la verificación de la prestación de
los servicios por parte de proveedores en la
Entidad.
1) ¿Se ha definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para realizar el seguimiento y
auditar las tareas pactadas con el
proveedor manteniendo el nivel de
seguridad acordado? (SI se evidencia o
NO se evidencia)
2) ¿Se ha definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para realizar si es necesario
cambios sobre el suministro de servicios
prestados por el proveedor sin afectar la
seguridad de la información de la
Entidad? (SI se evidencia o NO se
evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
115
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, Gerencia
Administrativa, La alta dirección u otra parte
interesada que requiera o solicite información
sobre la efectividad de los entrenamientos y
charlas informativas.
Revisor de la medición Gerente de seguridad, Gerencia de Tecnologías
dela Información y Gerente Administrativo.
Propietario de la información Gerencia de seguridad, La alta dirección,
Gerencia de Tecnologías de la Información y
Gerencia Administrativa.
Recolector de la información Gerencia de seguridad.
116
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
117
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
A.16.1 GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA
INFORMACIÓN
Tabla 31. Medición para gestión de incidentes y mejoras en la seguridad de la información
Identificación de la estructura de medición
Nombre de la estructura de medición Manejo de incidentes y mejoras en la seguridad
de la información
Identificador numérico 16.1
Propósito de la estructura de
medición
Permite que la Entidad asegure un enfoque
coherente al momento de manejar incidentes de
seguridad de la información.
Objetivo del control / proceso A.16.1 Gestión de incidentes y mejoras en la
seguridad de la información
Objetivo: Asegurar un enfoque coherente y
eficaz para la gestión de incidentes de seguridad
de la información, incluida la comunicación sobre eventos de seguridad y debilidades.
Control(1)/proceso(1) A.16.1.1 Responsabilidad y procedimientos
Control: Se deberían establecer las
responsabilidades y procedimientos de gestión
para asegurar una respuesta rápida, eficaz y
ordenada a los incidentes de seguridad de la
información.
Control(2)/proceso(2) A.16.1.2 Reporte de eventos de seguridad de la
información
Control: Los eventos de seguridad de la
información se deberían informar a través de los
canales de gestión apropiados, tan pronto como
sea posible.
Control(3)/proceso(3) A.16.1.3 Reporte de debilidades de seguridad de
la información
Control: Se debería exigir a todos los empleados
y contratistas que usan los servicios y sistemas
de información de la organización, que
observen e informen cualquier debilidad de
seguridad de la información observada o
sospechada en los sistemas o servicios.
118
Control(4)/proceso(4) A.16.1.4 Evaluación de eventos de seguridad de
la información y decisiones sobre ellos
Control: Los eventos de seguridad de la
información se deberían evaluar y se debería
decidir si se van a clasificar como incidentes de
seguridad de la información.
Control(5)/proceso(5) A.16.1.5 Respuesta a incidentes de seguridad de
la información
Control: Se debería dar respuesta a los
incidentes de seguridad de la información de
acuerdo con procedimientos documentados.
Control(6)/proceso(6) A.16.1.6 Aprendizaje obtenido de los incidentes
de seguridad de la información
Control: El conocimiento adquirido al analizar
y resolver incidentes de seguridad de la
información se debería usar para reducir la
posibilidad o el impacto de incidentes futuros.
Control(7)/proceso(7) A.16.1.7 Recolección de evidencia
Control: La organización debería definir y
aplicar procedimientos para la identificación,
recolección, adquisición y preservación de
información que pueda servir como evidencia.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
gestión de incidentes de seguridad de la
información.
1. Gestión de incidentes de seguridad de la
información
Indica cómo responde la entidad en caso
de presentarse algún incidente que
afecte alguno de los 3 servicios
fundamentales de la información:
Disponibilidad, Integridad o
confidencialidad.
Atributo Preguntas puntuales para realizar la verificación
de la implementación de los procedimientos
necesarios en la correcta gestión de incidentes
presentados en la seguridad de la información
en la Entidad.
119
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para asegurar una respuesta
rápida, eficaz y ordenada ante los
incidentes de seguridad de la
información presentados en la Entidad?
(SI se evidencia o NO se evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para que empleados y
contratistas que usan los servicios y
sistemas de información de la
organización, que observen e informen
cualquier debilidad de seguridad de la
información observada o sospechada en
la Entidad? (SI se evidencia o NO se
evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 – CUMPLE
120
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Tecnologías
de la Información.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Tecnologías de la Información.
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
121
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE
CONTINUIDAD DE NEGOCIO
A.17.1 CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN
Tabla 32. Medición para continuidad de seguridad de la información
Identificación de la estructura de medición
Nombre de la estructura de medición Continuidad de seguridad de la información
Identificador numérico 17.1
Propósito de la estructura de
medición
Mantener la continuidad de la seguridad de la
información, la cual se debe incluir en los
sistemas de información de la Entidad.
Objetivo del control / proceso A.17.1 Continuidad de seguridad de la
información
Objetivo: La continuidad de seguridad de la
información se debería incluir en los sistemas de
gestión de la continuidad de negocio de la
organización.
Control(1)/proceso(1) A.17.1.1 Planificación de la continuidad de la
seguridad de la información
Control: La organización debería determinar
sus requisitos para la seguridad de la
información y la continuidad de la gestión de la
seguridad de la información en situaciones
adversas, por ejemplo, durante una crisis o
desastre.
Control(2)/proceso(2) A.17.1.2 Implementación de la continuidad de
la seguridad de la información
Control: La organización debería establecer,
documentar, implementar y mantener procesos,
procedimientos y controles para asegurar el
nivel de continuidad requerido para la seguridad
de la información durante una situación adversa.
Control(3)/proceso(3) A.17.1.3 Verificación, revisión y evaluación de
la continuidad de la seguridad de la información
122
Control: La organización debería verificar a
intervalos regulares los controles de
continuidad de la seguridad de la información
establecidos e implementados, con el fin de
asegurar que son válidos y eficaces durante
situaciones adversas.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
mejora continua de la seguridad de la
información en la Entidad.
1. Gestión de la continuidad de negocio
Indicar la manera en que la entidad
garantizará la continuidad para todos sus
procesos, identificando los procesos
críticos que tendrán mayor prioridad en
las fases de recuperación ante algún
desastre o incidente crítico.
Atributo Preguntas puntales para realizar la verificación
de la implementación de los procedimientos
necesario en la continuidad de la seguridad de la
información en la Entidad.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para la continuidad de la
gestión de la seguridad de la
información en situaciones adversas,
durante una crisis o desastre? (SI se
evidencia o NO se evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos en donde se puedan a verificar
a intervalos regulares los controles de
continuidad de la seguridad de la
información establecidos e
implementados, con el fin de asegurar
que son válidos y eficaces durante
situaciones adversas? (SI se evidencia o
NO se evidencia)
123
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Tecnologías
de la Información.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Tecnologías de la Información.
Recolector de la información Gerencia de seguridad.
124
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.17.2 REDUNDANCIAS
Tabla 33. Medición para redundancias
Identificación de la estructura de medición
Nombre de la estructura de medición Redundancias
Identificador numérico 17.2
Propósito de la estructura de
medición
La estructura de medición tiene como propósito
asegurar que la Entidad tenga un sistema de
redundancias para la prestación del servicio.
Objetivo del control / proceso A.17.2 Redundancias
Objetivo: Asegurar la disponibilidad de
instalaciones de procesamiento de información.
Control(1)/proceso(1) A.17.2.1 Disponibilidad de instalaciones de
procesamiento de información.
Control: Las instalaciones de procesamiento de
información se deberían implementar con
redundancia suficiente para cumplir los
requisitos de disponibilidad.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a los
sistemas de redundancia en la mejora continua
de la seguridad de la información en la Entidad.
1. Gestión de implementación de sistemas
redundantes
Indicar la manera en que la Entidad
garantizará la continuidad para todos sus
procesos, a través de la instalación de
sistemas redundantes desde el punto de
vista de infraestructura TI, identificando
125
los procesos críticos al momento de
evidenciar incidencias en la
organización.
Atributo Preguntas puntales para realizar la verificación
de la implementación de sistemas redundantes
para asegurar la continuidad del negocio en la
Entidad.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para la continuidad del
negocio, la manera en que se deben
implementar sistemas redundantes,
teniendo en cuenta los procesos
misionales y procesos críticos en la
Entidad en el momento en que se
presente un incidente? (SI se evidencia
o NO se evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos en donde se puedan a verificar
si se encuentran documentados los
requisitos técnicos que tienen como
objetivo una correcta instalación de
sistemas redundantes a nivel de
infraestructura TI, así como el hecho de
que este sistema sea escalable? (SI se
evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
126
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, La alta
dirección u otra parte interesada que requiera o
solicite información sobre la efectividad de los
entrenamientos y charlas informativas.
Revisor de la medición Gerente de seguridad y Gerente de Tecnologías
de la Información.
Propietario de la información Gerencia de seguridad, La alta dirección y
Gerencia de Tecnologías de la Información.
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
127
A.18 CUMPLIMIENTO
A.18.1 CUMPLIMIENTO DE REQUISITOS LEGALES
Tabla 34. Medición para cumplimiento de requisitos legales
Identificación de la estructura de medición
Nombre de la estructura de medición Cumplimiento de requisitos legales
Identificador numérico 18.1
Propósito de la estructura de
medición
El propósito de la estructura de medición es
vigilar que la Entidad este cumpliendo a
cabalidad las obligaciones legales
correspondientes a la seguridad de la
información.
Objetivo del control / proceso A.18.1 Cumplimiento de requisitos legales y
contractuales
Objetivo: Evitar el incumplimiento de las
obligaciones legales, estatutarias, de
reglamentación o contractuales relacionadas
con seguridad de la información, y de cualquier
requisito de seguridad.
Control(1)/proceso(1) A.18.1.1 Identificación de la legislación
aplicable y de los requisitos contractuales
Control: Todos los requisitos estatutarios,
reglamentarios y contractuales pertinentes, y el
enfoque de la organización para cumplirlos, se
deberían identificar y documentar
explícitamente y mantenerlos actualizados para
cada sistema de información y para la
organización.
Control(2)/proceso(2) A.18.1.2 Derechos de propiedad intelectual
Control: Se deberían implementar
procedimientos apropiados para asegurar el
cumplimiento de los requisitos legislativos, de
reglamentación y contractuales relacionados
con los derechos de propiedad intelectual y el
uso de productos de software patentados.
128
Control(3)/proceso(3) A.18.1.3 Protección de registros
Control: Los registros se deberían proteger
contra perdida, destrucción, falsificación,
acceso no autorizado y liberación no autorizada,
de acuerdo con los requisitos legislativos, de
reglamentación, contractuales y de negocio.
Control(4)/proceso(4) A.18.1.4 Privacidad y protección de datos
personales
Control: Cuando sea aplicable, se deberían
asegurar la privacidad y la protección de la
información de datos personales, como se exige
en la legislación y la reglamentación
pertinentes.
Control(5)/proceso(5) A.18.1.5 Reglamentación de controles
criptográficos
Control: Se deberían usar controles
criptográficos, en cumplimiento de todos los
acuerdos, legislación y reglamentación
pertinentes.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
mejora continua de la seguridad de la
información en la Entidad.
1. Cumplimiento de la legislación vigente
entorno a la seguridad de la información.
Indicar la manera en que la entidad
garantizará la continuidad para todos sus
procesos, efectuando el respectivo
cumplimiento de la legislación nacional
vigente, con el fin de garantizar la
seguridad de la información.
Atributo Preguntas puntales para realizar la verificación
de que se está haciendo uso de la legislación
vigente entorno a la Seguridad de la
información en la Entidad.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información el uso de las políticas
correspondientes a la seguridad de la
129
información, teniendo en cuenta la
legislación colombiana vigente? (SI se
evidencia o NO se evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos al cumplimiento de los
requisitos legislativos en cuanto al uso
de software patentado (propiedad
intelectual) en la Entidad? (SI se
evidencia o NO se evidencia)
3) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para el manejo pertinente de
los registros de información en la
Entidad teniendo en cuenta la
legislación vigente? (SI se evidencia o
NO se evidencia)
4) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos en cuanto a la publicación de
políticas pertinentes al tratamiento de
datos personales, tales como la ley 1581
de 2012 en donde se reglamenta por
parte del Estado colombiano el
tratamiento de la información? (SI se
evidencia o NO se evidencia)
5) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para hacer uso de controles
criptográficos en la transferencia de
información tanto manera interna como
en relaciones con terceros a la Entidad?
(SI se evidencia o NO se evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
130
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
4) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
5) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
4) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
5) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, Gerencia
jurídica, La alta dirección u otra parte interesada
que requiera o solicite información sobre la
131
efectividad de los entrenamientos y charlas
informativas.
Revisor de la medición Gerente de seguridad, Gerente jurídico y
Gerente de Tecnologías de la Información.
Propietario de la información Gerencia de seguridad, La alta dirección,
Gerencia jurídica y Gerencia de Tecnologías de
la Información.
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
A.18.2 REVISIONES DE SEGURIDAD DE LA INFORMACIÓN
Tabla 35. Medición para revisiones de seguridad de la información
Identificación de la estructura de medición
Nombre de la estructura de medición Revisiones de seguridad de la información
Identificador numérico 18.2
Propósito de la estructura de
medición
El propósito de la estructura de medición es
verificar que la seguridad de la información en
la Entidad opere de acuerdo a las políticas y
procedimientos correspondientes.
Objetivo del control / proceso A.18.2 Revisiones de seguridad de la
información
Objetivo: Asegurar que la seguridad de la
información se implemente y opere de acuerdo
con las políticas y procedimientos
organizacionales.
Control(1)/proceso(1) A.18.2.1 Revisión independiente de la
seguridad de la información
Control: El enfoque de la organización para la
gestión de la seguridad de la información y su
implementación (es decir, los objetivos de
132
control, los controles, las políticas, los procesos
y los procedimientos para seguridad de la
información) se deberían revisar
independientemente a intervalos planificados o
cuando ocurran cambios significativos.
Control(2)/proceso(2) A.18.2.2 Cumplimiento con las políticas y
normas de seguridad
Control: Los directores deberían revisar con
regularidad el cumplimiento del procesamiento
y procedimientos de información dentro de su
área de responsabilidad, con las políticas y
normas de seguridad apropiadas, y cualquier
otro requisito de seguridad.
Control(3)/proceso(3) A.18.2.3 Revisión del cumplimiento técnico
Control: Los sistemas de información se
deberían revisar periódicamente para
determinar el cumplimiento con las políticas y
normas de seguridad de la información.
Objeto de medición y atributos
Objeto de medición Totalidad de ítems implementados entorno a la
mejora continua de la seguridad de la
información en la Entidad.
1. Gestión de cumplimiento de requisitos
legales
Indicar la manera en que la entidad
garantizará la continuidad para todos sus
procesos, partiendo de los requisitos
legales emitidos en la legislación
vigente, entorno a la seguridad de la
información.
Atributo Preguntas puntales para realzar la verificación
de a implementación de los procedimientos
necesario en la continuidad de la seguridad de la
información en la Entidad.
1) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para realizar la revisión de
133
controles y grupos de controles dentro
de los tiempos establecidos al momento
de realizar la implementación del
Sistema de Gestión de Seguridad de la
Información en la Entidad? (SI se
evidencia o NO se evidencia)
2) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para verificar si se está
realizando por parte de directores de
área o departamentos, la revisión
pertinente de las políticas de seguridad
propias del área en torno al SGSI
implementado en la Entidad? (SI se
evidencia o NO se evidencia)
3) ¿Se han definido dentro de la política
general de seguridad y privacidad de la
información los procedimientos
correctos para realizar la revisión de los
sistema de información implementados
en la Entidad, para confirmar que estos
estén dando cumplimiento a las políticas
vigentes en torno al SGSI
implementado? (SI se evidencia o NO se
evidencia)
Especificación de medidas base (para cada medida base [1..n])
Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
2) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
3) 0 NO CUMPLE (NO se evidencia); 1
CUMPLE (SI se evidencia)
Especificación de medida derivada
Función de medición 1) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
2) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
3) SI se evidencia = CUMPLE; NO se
evidencia = NO CUMPLE
134
Especificación del indicador
Indicador Uso de identificadores de color. Gráfico de
barras que representa cumplimiento en varios
períodos de reporte con respecto a los umbrales
(CUMPLE y NO CUMPLE).
Reportes realizados mensualmente.
Modelo analítico 0 - NO CUMPLE; 1 – CUMPLE
Especificación de los modelos de decisión
Criterios de decisión NO CUMPLE - se requiere intervención, es
necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento.
CUMPLE - no se requiere acción, continuar con
el proceso como se viene desarrollando.
Resultados de medición
Interpretación de un indicador Tomar acciones correctivas para el siguiente
periodo de medición si el indicador se encuentra
en NO CUMPLE. Las acciones correctivas son
Específicas de la Entidad.
Partes interesadas
Cliente de la medición Gerencia de seguridad, Gerencia de
Tecnologías de la Información, Gerencia
jurídica, La alta dirección u otra parte interesada
que requiera o solicite información sobre la
efectividad de los entrenamientos y charlas
informativas.
Revisor de la medición Gerente de seguridad, Gerente de Tecnologías
de la Información y Gerente jurídico.
Propietario de la información Gerencia de seguridad, La alta dirección,
Gerencia jurídica y Gerencia de Tecnologías de
la Información.
Recolector de la información Gerencia de seguridad.
Frecuencia / Periodicidad
Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes
Frecuencia del análisis de datos Trimestral
Frecuencia del informe de los
resultados de la medición
Trimestral
Revisión de la medición Revisar Trimestralmente
Período de medición Anual
Los autores
Recommended