Ejemplo 2
Paso 1
Relevar el cumplimiento para cada una de las preguntas del cuestionario de la tabla 4, asociados a los objetivos propuestos.
Paso 2
Sumar los valores a fin de obtener el porcentaje de implementación, y si es deseado convertirlo a la escala de Likert.
Objetivo | Métrica | Pregunta | Respuesta | Peso | % Implementación |
---|---|---|---|---|---|
1- Organización del SGSI definida y RRHH asignados. | 1.1- Resolución de la Dirección del Organismo donde se crea el área. y 1.2- Resolución de la Dirección donde se designan las personas. | 1 | SI | 10/9 | 6,11 |
2 | SI | 10/9 | |||
3 | ni SI ni NO | 5/9 | |||
4 | ni SI ni NO | 5/9 | |||
5 | NO | 0 | |||
6 | NO | 0 | |||
7 | SI | 10/9 | |||
8 | SI | 10/9 | |||
9 | ni SI ni NO | 5/9 | |||
2- Documento de la Política de Seguridad de la Información. | 2.1- Documento de Política aprobado por la Dirección. y 2.2- Procedimientos de primer nivel aprobados siendo íntegros, completos y apropiados. | 1 | ni SI ni NO | 5/9 | 4,44 |
2 | ni SI ni NO | 5/9 | |||
3 | ni SI ni NO | 5/9 | |||
4 | SI | 10/9 | |||
5 | SI | 10/9 | |||
6 | NO | 0 | |||
7 | ni SI ni NO | 5/9 | |||
8 | NO | 0 | |||
9 | NO | 0 | |||
3- Activos Críticos identificados. | 3.1- Mapa de procesos críticos y/o activos críticos, aprobado por los responsables, por todas las áreas involucradas de la organización en el SGSI y por la Dirección. | 1 | ni SI ni NO | 5/8 | 3,75 |
2 | ni SI ni NO | 5/8 | |||
3 | NO | 0 | |||
4 | ni SI ni NO | 5/8 | |||
5 | ni SI ni NO | 5/8 | |||
6 | SI | 10/8 | |||
7 | NO | 0 | |||
8 | NO | 0 | |||
4- Riesgos identificados | 4.1- Mapa de Riesgos identificados. Documento aprobado por la Dirección de la Organización. | 1 | SI | 10/9 | 3,33 |
2 | NO | 0 | |||
3 | ni SI ni NO | 5/9 | |||
4 | NO | 0 | |||
5 | ni SI ni NO | 5/9 | |||
6 | ni SI ni NO | 5/9 | |||
7 | NO | 0 | |||
8 | ni SI ni NO | 5/9 | |||
9 | NO | 0 | |||
5- Planes de implementación de mejoras y controles en sistemas definidos. | 5.1- Mejoras y controles definidos. Documento aprobado por Gerente de TI y Gerente de Auditoria. | 1 | ni SI ni NO | 1/2 | 3,00 |
2 | ni SI ni NO | 1/2 | |||
3 | ni SI ni NO | 1/2 | |||
4 | ni SI ni NO | 1/2 | |||
5 | ni SI ni NO | 1/2 | |||
6 | NO | 0 | |||
7 | NO | 0 | |||
8 | NO | 0 | |||
9 | NO | 0 | |||
10 | NO | 0 | |||
6- Divulgar la PSI. | 6.1- Plan de capacitación definido. 6.2- Actas del Centro de Capacitación de la organización. Porcentaje de personas capacitadas, entrenadas y sensibilizadas. 6.3- Firma de acuerdo de confidencialidad. | 1 | SI | 2 | 7,00 |
2 | SI | 2 | |||
3 | NO | 0 | |||
4 | ni SI ni NO | 1 | |||
5 | ni SI ni NO | 1 | |||
6 | ni SI ni NO | 1 | |||
7 | NO | 0 | |||
8 | NO | 0 | |||
9 | NO | 0 | |||
10 | NO | 0 | |||
7- Realizar auditorías y controles. | 7.1- Dos auditorías. (Auditorías realizadas por la GSI) | 1 | NO | 0 | 0,00 |
2 | NO | 0 | |||
3 | NO | 0 | |||
8- Mantenimiento del SGSI. | 8.1- Revisión de políticas y procedimientos. 8.2- Revisión de activos y mapa de riesgos. | 1 | ni SI ni NO | 7/8 | 1,75 |
2 | ni SI ni NO | 7/8 | |||
3 | NO | 0 | |||
4 | NO | 0 | |||
5 | NO | 0 | |||
6 | NO | 0 | |||
7 | NO | 0 | |||
8 | NO | 0 | |||
Porcentaje de implementación | 29,39 inadecuado |