Ejemplo 2
Paso 1
Relevar el cumplimiento para cada una de las preguntas del cuestionario de la tabla 4, asociados a los objetivos propuestos.
Paso 2
Sumar los valores a fin de obtener el porcentaje de implementación, y si es deseado convertirlo a la escala de Likert.
| Objetivo | Métrica | Pregunta | Respuesta | Peso | % Implementación |
|---|---|---|---|---|---|
| 1- Organización del SGSI definida y RRHH asignados. | 1.1- Resolución de la Dirección del Organismo donde se crea el área. y 1.2- Resolución de la Dirección donde se designan las personas. | 1 | SI | 10/9 | 6,11 |
| 2 | SI | 10/9 | |||
| 3 | ni SI ni NO | 5/9 | |||
| 4 | ni SI ni NO | 5/9 | |||
| 5 | NO | 0 | |||
| 6 | NO | 0 | |||
| 7 | SI | 10/9 | |||
| 8 | SI | 10/9 | |||
| 9 | ni SI ni NO | 5/9 | |||
| 2- Documento de la Política de Seguridad de la Información. | 2.1- Documento de Política aprobado por la Dirección. y 2.2- Procedimientos de primer nivel aprobados siendo íntegros, completos y apropiados. | 1 | ni SI ni NO | 5/9 | 4,44 |
| 2 | ni SI ni NO | 5/9 | |||
| 3 | ni SI ni NO | 5/9 | |||
| 4 | SI | 10/9 | |||
| 5 | SI | 10/9 | |||
| 6 | NO | 0 | |||
| 7 | ni SI ni NO | 5/9 | |||
| 8 | NO | 0 | |||
| 9 | NO | 0 | |||
| 3- Activos Críticos identificados. | 3.1- Mapa de procesos críticos y/o activos críticos, aprobado por los responsables, por todas las áreas involucradas de la organización en el SGSI y por la Dirección. | 1 | ni SI ni NO | 5/8 | 3,75 |
| 2 | ni SI ni NO | 5/8 | |||
| 3 | NO | 0 | |||
| 4 | ni SI ni NO | 5/8 | |||
| 5 | ni SI ni NO | 5/8 | |||
| 6 | SI | 10/8 | |||
| 7 | NO | 0 | |||
| 8 | NO | 0 | |||
| 4- Riesgos identificados | 4.1- Mapa de Riesgos identificados. Documento aprobado por la Dirección de la Organización. | 1 | SI | 10/9 | 3,33 |
| 2 | NO | 0 | |||
| 3 | ni SI ni NO | 5/9 | |||
| 4 | NO | 0 | |||
| 5 | ni SI ni NO | 5/9 | |||
| 6 | ni SI ni NO | 5/9 | |||
| 7 | NO | 0 | |||
| 8 | ni SI ni NO | 5/9 | |||
| 9 | NO | 0 | |||
| 5- Planes de implementación de mejoras y controles en sistemas definidos. | 5.1- Mejoras y controles definidos. Documento aprobado por Gerente de TI y Gerente de Auditoria. | 1 | ni SI ni NO | 1/2 | 3,00 |
| 2 | ni SI ni NO | 1/2 | |||
| 3 | ni SI ni NO | 1/2 | |||
| 4 | ni SI ni NO | 1/2 | |||
| 5 | ni SI ni NO | 1/2 | |||
| 6 | NO | 0 | |||
| 7 | NO | 0 | |||
| 8 | NO | 0 | |||
| 9 | NO | 0 | |||
| 10 | NO | 0 | |||
| 6- Divulgar la PSI. | 6.1- Plan de capacitación definido. 6.2- Actas del Centro de Capacitación de la organización. Porcentaje de personas capacitadas, entrenadas y sensibilizadas. 6.3- Firma de acuerdo de confidencialidad. | 1 | SI | 2 | 7,00 |
| 2 | SI | 2 | |||
| 3 | NO | 0 | |||
| 4 | ni SI ni NO | 1 | |||
| 5 | ni SI ni NO | 1 | |||
| 6 | ni SI ni NO | 1 | |||
| 7 | NO | 0 | |||
| 8 | NO | 0 | |||
| 9 | NO | 0 | |||
| 10 | NO | 0 | |||
| 7- Realizar auditorías y controles. | 7.1- Dos auditorías. (Auditorías realizadas por la GSI) | 1 | NO | 0 | 0,00 |
| 2 | NO | 0 | |||
| 3 | NO | 0 | |||
| 8- Mantenimiento del SGSI. | 8.1- Revisión de políticas y procedimientos. 8.2- Revisión de activos y mapa de riesgos. | 1 | ni SI ni NO | 7/8 | 1,75 |
| 2 | ni SI ni NO | 7/8 | |||
| 3 | NO | 0 | |||
| 4 | NO | 0 | |||
| 5 | NO | 0 | |||
| 6 | NO | 0 | |||
| 7 | NO | 0 | |||
| 8 | NO | 0 | |||
| Porcentaje de implementación | 29,39 inadecuado | ||||