Gua de indicadores de la gestin

para la seguridad de la informacin

Gua Tcnica

HISTORIA

VERSIN

FECHA

CAMBIOS INTRODUCIDOS

2.0

11/30/2011

Documento del Modelo Anterior

3.0

25/05/2015

Ajustes por Restructuracin del Modelo

1. DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de
la Informacin, con derechos reservados por parte del Ministerio de Tecnologas de
la Informacin y las Comunicaciones, a travs de la estrategia de Gobierno en
Lnea.
Todas las referencias a las polticas, definiciones o contenido relacionado,
publicadas en la norma tcnica colombiana NTC ISO/IEC 27001 e ISO 27004
vigente, as como a los anexos con derechos reservados por parte de
ISO/ICONTEC.

2. AUDIENCIA

Entidades pblicas de orden nacional y entidades pblicas del orden territorial, as

como proveedores de servicios de Gobierno en Lnea, y terceros que deseen
adoptar el Modelo de Seguridad y Privacidad de la informacin en el marco de la
Estrategia de Gobierno en Lnea.

3. INTRODUCCIN
En esta gua encontrara una serie de indicadores 1 de gestin que podran ser
utilizados al interior de su entidad para medir la efectividad, eficacia y eficiencia de
la Seguridad de la Informacin dentro de la entidad,

Indicador:

con respecto a objetivos, metas trazadas y resultados esperados.

4. OBJETIVO DE LA MEDICION
La creacin de indicadores de gestin est orientada principalmente en la medicin
de efectividad, eficiencia y eficacia de los componentes de implementacin y gestin
definidos en el modelo de operacin del marco de seguridad y privacidad de la
informacin, indicadores que servirn como insumo para el componente de mejora
continua permitiendo adoptar decisiones de mejora.
Los objetivos de estos procesos de medicin en seguridad de la informacin son:

Evaluar la efectividad de la implementacin de los controles de seguridad

Evaluar la eficiencia del Modelo de Seguridad y Privacidad de la Informacin
al interior de la entidad.
Proveer estados de seguridad que sirvan de gua en las revisiones del
Modelo de Seguridad y Privacidad de la Informacin, facilitando mejoras en
seguridad de la informacin y nuevas entradas a auditar.
Comunicar valores de seguridad al interior de la entidad.
Servir como insumos al plan de anlisis y tratamiento de riesgos.

5. INDICADORES PROPUESTOS
A continuacin se definen una seria de indicadores para medir la gestin 2 y el
cumplimiento3 en el avance de implementacin del Nuevo Modelo de Seguridad y
Privacidad de la Informacin, dichos indicadores son:
INDICADOR 01- ORGANIZACIN DE SEGURIDAD DE LA INFORMACIN.
IDENTIFICADOR SGIN01
DEFINICIN
El indicador permite determinar y hacer seguimiento, al compromiso de la
direccin, en cuanto a seguridad de la informacin, en lo relacionado con la
asignacin de personas y responsabilidades relacionadas a la seguridad de la
informacin al interior de la entidad
OBJETIVO
Hacer un seguimiento a la asignacin de recursos y responsabilidades en gestio
de seguridad de la informacin, por parte de la alta direccin.
TIPO DE INDICADOR
Indicador de Gestin
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
Captulo 2 de la gua del
VSI01: Nmero de personas con su
modelo de operacin del
respectivo rol defini segn el
marco de seguridad y
modelo de operacin captulo 2
privacidad
de
la
(VSI01/VSI02)*100
informacin
VSI02: Nmero de personas con su
Actas de asignacin de
respectivo rol defini despus de un
personal.
ao
METAS
7580MNIMA
SATISFACTORIA
SOBRESALIENTE 100%
80%
90%
OBSERVACIONES

las razones que permiten administrar realmente un

proceso o un sistema.
3

Indicador de Cumplimiento: D

tareas.

INDICADOR 01- ORGANIZACIN DE SEGURIDAD DE LA INFORMACIN.

De acuerdo a lo establecido en el captulo 2 de la gua del modelo de operacin
del marco de seguridad y privacidad de la informacin, es necesario crear nuevos
cargos y asignar responsabilidades en los actuales, por lo tanto, el indicador est
enfocado, no solo a la contratacin de nuevas personas, s no a la asignacin de
responsabilidades.
INDICADOR 02 - CUBRIMIENTO DEL SGSI EN ACTIVOS DE INFORMACIN.
IDENTIFICADOR SGIN02
DEFINICIN
El indicador permite determinar y hacer seguimiento al cubrimiento que se realiza
a nivel de activos crticos de informacin de una entidad y los controles aplicados.
OBJETIVO
Hacer un seguimiento a la inclusin de nuevos activos crticos de informacin y
su control, dentro del marco de seguridad y privacidad de la informacin.
TIPO DE INDICADOR
Indicador de Gestin
FUENTE DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI03: Nmero de activos crticos de
informacin incluidos en el alcance de
Alcance
del
SGSI,
implementacin del modelo, incluidos
Inventario de Activos de
en la zona de riesgo inaceptable y la
informacin, plan de
implementacin del control no requiere
tratamiento, matriz de
adquisicin de elementos de hardware (VSI03/VSI04)*100 riesgos
o software.
VSI04: Nmero de activos crticos de
informacin incluidos en el alcance de
Inventario de Activos de
implementacin del modelo; activos
informacin, nuevos
incluidos en la zona de riesgo
inaceptable.
METAS
80MNIMA
75-80% SATISFACTORIA
SOBRESALIENTE 100%
90%
OBSERVACIONES

INDICADOR 02 - CUBRIMIENTO DEL SGSI EN ACTIVOS DE INFORMACIN.

El indicador de cada proceso debe ser recolectado y promediado para construir
un indicador que refleje el estado a nivel empresa.
El termin incluir un activo debe ser entendido como realizar la correcta
clasificacin del activo, tratamiento, evaluacin de riesgos sobre el mismo y
determinacin de controles para minimizar el riesgo calculado. Para este
indicador, solo se tienen en cuenta los controles que no implican adquisicin de
hardware o software.

INDICADOR 03 - TRATAMIENTOS DE EVENTOS RELACIONADOS EN

MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
IDENTIFICADOR SGIN03
DEFINICIN
El indicador permite determinar la eficiencia en el tratamiento de eventos
relacionados la seguridad de la informacin. Los eventos sern reportados por los
usuarios o determinadas en las auditoras planeadas para el sistema.
OBJETIVO
El objetivo del indicador es reflejar la gestin y evolucin del modelo de
seguridad y privacidad de la informacin al interior de una entidad
TIPO DE INDICADOR
Indicador de Gestin
DESCRIPCIN DE VARIABLES
VSI05: Nmero
cerradas.

de

FUENTE DE
INFORMACIN

FORMULA

anomalas

Auditoras internas,
herramientas de monitoreo
(VSI05/VSI06)*100

VSI06: Nmero total de anomalas

encontradas.

Auditoras internas,
herramientas de monitoreo
METAS

MNIMA

7580%

SATISFACTORIA

8090%

SOBRESALIENTE

100%

INDICADOR PLAN DE SENSIBILIZACIN

IDENTIFICADOR SGIN04
DEFINICIN
El indicador permite medir la aplicacin de los temas sensibilizados en seguridad
de la informacin por parte de los usuarios finales. Estas mediciones se podrn
realizar por medio de auditoras especializadas en el tema o de forma aislada por
parte de los responsables de la capacitacin y sensibilizacin.
OBJETIVO
El objetivo del indicador es establecer la efectividad de un plan de capacitacin y
sensibilizacin previamente definido como medio para el control de incidentes de
seguridad.
TIPO INDICADOR
Indicador de Gestin
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI07: Nmero de fallas o no
Oficial de Seguridad de la
cumplimientos encontrados en las
Informacin, auditoras
sensibilizaciones programadas o
internas, atencin al
eventos realizados para evaluar el (VSI07/VSI08)*100 usuario,
listas
de
tema.
asistencia
Total de funcionarios de
VSI08: Total de personal a capacitar.
la entidad.
METAS
7580MNIMA
SATISFACTORIA
SOBRESALIENTE 100%
80%
90%
OBSERVACIONES
Para el levantamiento de la informacin que permita obtener datos para la
medicin el responsable debe idear planes, laboratorios o actividades peridicas
que permitan medir lo capacitado o divulgado.

10

INDICADOR CUMPLIMIENTO DE POLTICAS DE SEGURIDAD DE LA

INFORMACIN EN LA ENTIDAD
IDENTIFICADOR SGIN05
DEFINICIN
Cumplimiento de polticas de seguridad de la informacin en la entidad
OBJETIVO
Busca identificar el nivel de estructuracin de los procesos de la entidad
orientados a la seguridad de la informacin.
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI09: La entidad ha definido una
Gua del Modelo de
poltica general de seguridad de la
Operacin
/
Usuarios
informacin?
Internos
VSI10: La entidad ha definido una
organizacin interna en trminos de VSI0X = 1 (S
Gua del Modelo de
personas y responsabilidades con el se evidencia)
Operacin
/
Usuarios
fin de cumplir las polticas de
Internos
seguridad de la informacin y VSIOX = 0 (NO
se evidencia)
documenta estas actividades?
VSI11: La entidad cumple con los
Gua del Modelo de
requisitos legales, reglamentarios y
Operacin
/
Usuarios
contractuales con respecto al manejo
Internos
de la informacin?
METAS
CUMPLE
1
NO CUMPLE
0
OBSERVACIONES

INDICADOR IDENTIFICACIN DE LINEAMIENTOS DE SEGURIDAD DE LA

ENTIDAD
IDENTIFICADOR SGIN06
DEFINICIN
Grado de la seguridad de la informacin y los equipos de cmputo.
OBJETIVO
Busca medir el nivel de preparacin del recurso humano y su apropiacin en
cuanto a la seguridad de la informacin y los equipos de cmputo.
TIPO INDICADOR
Indicador de Cumplimiento

11

INDICADOR IDENTIFICACIN DE LINEAMIENTOS DE SEGURIDAD DE LA

ENTIDAD
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI12: La entidad ha definido
lineamientos de trabajo a travs del
comit o responsable de seguridad
Usuarios Internos.
para que sus funcionarios cumplan las
polticas de seguridad y evala VSI0X = 1 (S
peridicamente su pertinencia?
se evidencia)
VSI13: La entidad ha definido
lineamientos en cuanto a la proteccin VSIOX = 0 (NO
se evidencia)
de las instalaciones fsicas, equipos
de cmputo y su entorno para evitar
Usuarios Internos.
accesos no autorizados y minimizar
riesgos de la informacin de la
entidad?
METAS
CUMPLE
1
NO CUMPLE
0
OBSERVACIONES

INDICADOR VERIFICACIN DEL CONTROL DE ACCESO

IDENTIFICADOR SGIN07
DEFINICIN
Grado control de acceso en la entidad.
OBJETIVO
Busca identificar la existencia de lineamientos, normas o estndares en cuanto al
control de acceso en la entidad.
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI14: La entidad ha definido
lineamientos, normas y/o estndares
para controlar el acceso de los
Usuarios Internos.
usuarios a sus servicios de Gobierno
en lnea y a sus redes de
comunicaciones?

12

INDICADOR VERIFICACIN DEL CONTROL DE ACCESO

VSI15: La entidad ha definido VSI0X = 1 (S
se evidencia)
lineamientos, normas y/o estndares
para controlar el uso y el acceso a los VSIOX = 0 (NO
sistemas
de
informacin,
las se evidencia)
aplicaciones y los depsitos de
informacin con las que cuenta la
entidad?
Usuarios Internos.
VSI16: La entidad ha definido
lineamientos, normas y/o estndares
para controlar las terminales mviles y
accesos remotos a los recursos de la
entidad?
METAS
CUMPLE
1
NO CUMPLE
OBSERVACIONES

INDICADOR ASEGURAMIENTO EN LA ADQUISICIN Y MANTENIMIENTO

DE SOFTWARE
IDENTIFICADOR SGIN08
DEFINICIN
Grado de proteccin de los servicios de la entidad.
OBJETIVO
Busca identificar la existencia de lineamientos, normas o estndares en cuanto a
la adquisicin o desarrollo de aplicaciones.
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI17: La entidad ha definido
lineamientos, normas y/o estndares
Usuarios Internos.
para el desarrollo o adquisicin de
software, sistemas y aplicaciones?
VSI18: La entidad ha definido
lineamientos, normas y/o estndares
para la gestin de incidentes
relacionados con el servicio?

VSI0X = 1 (S
se evidencia)

Usuarios Internos.

VSIOX = 0 (NO
se evidencia)

13

INDICADOR ASEGURAMIENTO EN LA ADQUISICIN Y MANTENIMIENTO

DE SOFTWARE
METAS
CUMPLE
1
NO CUMPLE
0
OBSERVACIONES

INDICADOR IMPLEMENTACIN DE LOS PROCESOS DE REGISTRO Y

AUDITORA
IDENTIFICADOR SGIN09
DEFINICIN
Grado de existencia de lineamientos, normas o estndares en cuanto registro y
auditora para la seguridad de la informacin.
OBJETIVO
Busca identificar la existencia de lineamientos, normas o estndares en cuanto
registro y auditora para la seguridad de la informacin.
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI19: La entidad ha definido
lineamientos, normas y/o estndares
para el registro y control de eventos
Usuarios Internos.
que sucedan sobre sus sistemas,
redes y servicios?
VSI20: La entidad verifica de manera
interna y/o a travs de terceros, VSI0X = 1 (S
peridicamente sus procesos de se evidencia)
Usuarios Internos.
seguridad de la informacin y
VSIOX = 0 (NO
sistemas
para
asegurar
el se evidencia)
cumplimiento del modelo?
METAS
CUMPLE
1
NO CUMPLE
0
OBSERVACIONES
INDICADOR DETECCIN DE ANOMALAS EN LA PRESTACIN DE LOS
SERVICIOS DE LA ENTIDAD
IDENTIFICADOR SGIN10
DEFINICIN
Grado de implementacin de los mecanismos encaminados a la deteccin de
anomalas e irregularidades.
OBJETIVO

14

INDICADOR IMPLEMENTACIN DE LOS PROCESOS DE REGISTRO Y

AUDITORA
Busca medir el nivel de mecanismos encaminados a la deteccin de anomalas e
irregularidades
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI21: VAPRSG005: La entidad ha
implementado mecanismos para
detectar
peridicamente
vulnerabilidades de seguridad en el
funcionamiento de:
a)

su infraestructura,

b)

redes,

c)

sistemas de informacin,

No

VSI0X = 1 (S
se evidencia)

d)

aplicaciones y/o

e)

uso de los servicios?

CUMPLE

Usuarios
Internos,
Conformidades

VSIOX = 0 (NO
se evidencia)

METAS
NO CUMPLE
OBSERVACIONES

INDICADOR POLTICAS DE PRIVACIDAD Y CONFIDENCIALIDAD

IDENTIFICADOR SGIN11
DEFINICIN
Grado de implementacin de polticas privacidad y confidencialidad de la entidad.
OBJETIVO
Busca identificar el nivel de implementacin de polticas privacidad y
confidencialidad de la entidad.
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN

15

INDICADOR POLTICAS DE PRIVACIDAD Y CONFIDENCIALIDAD

VSI22: La entidad ha implementado
lineamientos, normas y/o estndares
para proteger la informacin personal
Usuarios Internos.
y privada de los ciudadanos que
utilicen sus servicios?
VSI23: La entidad ha implementado VSI0X = 1 (S
lineamientos, normas y/o estndares se evidencia)
para proteger la informacin privada
Usuarios Internos.
de las entidades que utilicen sus VSIOX = 0 (NO
se evidencia)
servicios?
METAS
CUMPLE
1
NO CUMPLE
0
OBSERVACIONES

INDICADOR VERIFICACIN DE LAS POLTICAS DE INTEGRIDAD DE LA

INFORMACIN
IDENTIFICADOR SGIN12
DEFINICIN
Grado de implementacin de mecanismos para la integridad de la informacin de
la entidad.
OBJETIVO
Busca identificar el nivel de implementacin de polticas privacidad y
confidencialidad de la entidad.
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI24: La entidad ha implementado
lineamientos contra modificacin o
Usuarios Internos.
VSI0X = 1 (S
prdida accidental de informacin?
se evidencia)
VSI25: La entidad ha implementado
lineamientos, normas y/o estndares VSIOX = 0 (NO
para recuperar informacin en caso de se evidencia) Usuarios Internos.
modificacin o prdida intencional o
accidental?
METAS
CUMPLE
1
NO CUMPLE
0
OBSERVACIONES

16

INDICADOR POLTICAS DE DISPONIBILIDAD DEL SERVICIO Y LA

INFORMACIN
IDENTIFICADOR SGIN13
DEFINICIN
Grado de cumplimiento de las polticas de disponibilidad del servicio y la
informacin.
OBJETIVO
Busca identificar el nivel de implementacin de polticas de disponibilidad del
servicio y la informacin.
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI26: La entidad verifica que los
lineamientos, normas y/o estndares
orientados a la continuidad en la VSI0X = 1 (S Usuarios Internos.
prestacin de los servicios se se evidencia)
cumplan?
VSI27: La entidad ha implementado VSIOX = 0 (NO
se evidencia)
mecanismos para que los servicios de
Usuarios Internos.
Gobierno en lnea tengan altos ndices
de disponibilidad?
METAS
CUMPLE
1
NO CUMPLE
0
OBSERVACIONES

INDICADOR ATAQUES INFORMTICOS A LA ENTIDAD.

IDENTIFICADOR SGIN14
DEFINICIN
Porcentaje de ataques informticos recibidos en la entidad que impidieron la
prestacin de alguno de sus servicios.
OBJETIVO
Busca conocer el nmero de ataques informticos que recibe la entidad
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI28:
Cuntos
ataques VSI0X = 1 (S Herramientas
de
se
evidencia)
informticos recibi la entidad en el
Monitoreo/Usuarios
ltimo ao?
Internos.

17

INDICADOR ATAQUES INFORMTICOS A LA ENTIDAD.

VSI29: Cuntos ataques recibi la VSIOX = 0 (NO
entidad en el ltimo ao que se evidencia) Herramientas
impidieron la prestacin de algunos de
Monitoreo/Usuarios
los servicios que la entidad ofrece a
Internos.
los ciudadanos y empresas?
METAS
CUMPLE
1
NO CUMPLE
OBSERVACIONES

de

INDICADOR PORCENTAJE DE DISPONIBILIDAD DE LOS SERVICIO DE

GOBIERNO EN LNEA QUE PRESTA LA ENTIDAD
IDENTIFICADOR SGIN15
DEFINICIN
Porcentaje de disponibilidad de los servicios que presta la entidad
OBJETIVO
Busca identificar el nivel de disponibilidad del servicio y la informacin.
TIPO INDICADOR
Indicador de Cumplimiento
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI30: La entidad tiene definidos ANS
para los servicios de Gobierno en VSI0X = 1 (S Usuarios Internos.
Lnea que presta
se evidencia)
VSI31: Porcentaje de disponibilidad
de los servicio de Gobierno en lnea VSIOX = 0 (NO
Usuarios Internos.
se evidencia)
que presta la entidad en base a los
ANS del punto anterior.
METAS
CUMPLE
1
NO CUMPLE
0
OBSERVACIONES

INDICADOR PORCENTAJE DE IMPLEMENTACIN DE CONTROLES

IDENTIFICADOR SGIN16
DEFINICIN
grado de avance en la implementacin de controles de seguridad
OBJETIVO

18

INDICADOR PORCENTAJE DE IMPLEMENTACIN DE CONTROLES

Busca identificar el grado de avance en la implementacin de controles de
seguridad
TIPO INDICADOR
Indicador de Gestin
FUENTE
DE
DESCRIPCIN DE VARIABLES
FORMULA
INFORMACIN
VSI32: Nmero de Controles
Plan de tratamiento de
Implementados
riesgos
(VSI032/VSI33)*100
VSI33: Nmero de Controles que se
Plan de Tratamiento de
planearon implementar
riesgos.
METAS
MNIMA

7580%

SATISFACTORIA

8090%

SOBRESALIENTE

100%

19