Data Collection and Analysis - Parents of Children with Disabilities: Exploring the Reasons for

2. METHODOLOGY

2.3. Procedure

2.3.3. Data Collection and Analysis

Tabla 32. Medición para continuidad de seguridad de la información Identificación de la estructura de medición

Nombre de la estructura de medición Continuidad de seguridad de la información Identificador numérico 17.1

Propósito de la estructura de medición

Mantener la continuidad de la seguridad de la información, la cual se debe incluir en los sistemas de información de la Entidad.

Objetivo del control / proceso A.17.1 Continuidad de seguridad de la información

Objetivo: La continuidad de seguridad de la información se debería incluir en los sistemas de gestión de la continuidad de negocio de la organización.

Control(1)/proceso(1) A.17.1.1 Planificación de la continuidad de la seguridad de la información

Control: La organización debería determinar sus requisitos para la seguridad de la información y la continuidad de la gestión de la seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre.

Control(2)/proceso(2) A.17.1.2 Implementación de la continuidad de la seguridad de la información

Control: La organización debería establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa. Control(3)/proceso(3) A.17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información

122

Control: La organización debería verificar a intervalos regulares los controles de continuidad de la seguridad de la información establecidos e implementados, con el fin de asegurar que son válidos y eficaces durante situaciones adversas.

Objeto de medición y atributos

Objeto de medición Totalidad de ítems implementados entorno a la mejora continua de la seguridad de la información en la Entidad.

1. Gestión de la continuidad de negocio Indicar la manera en que la entidad garantizará la continuidad para todos sus procesos, identificando los procesos críticos que tendrán mayor prioridad en las fases de recuperación ante algún desastre o incidente crítico.

Atributo Preguntas puntales para realizar la verificación de la implementación de los procedimientos necesario en la continuidad de la seguridad de la información en la Entidad.

1) ¿Se han definido dentro de la política general de seguridad y privacidad de la información los procedimientos correctos para la continuidad de la gestión de la seguridad de la información en situaciones adversas, durante una crisis o desastre? (SI se evidencia o NO se evidencia)

2) ¿Se han definido dentro de la política general de seguridad y privacidad de la información los procedimientos correctos en donde se puedan a verificar a intervalos regulares los controles de continuidad de la seguridad de la información establecidos e implementados, con el fin de asegurar que son válidos y eficaces durante situaciones adversas? (SI se evidencia o NO se evidencia)

123

Especificación de medidas base (para cada medida base [1..n])

Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1 CUMPLE (SI se evidencia)

2) 0 NO CUMPLE (NO se evidencia); 1 CUMPLE (SI se evidencia)

Especificación de medida derivada

Función de medición 1) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE

2) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE

Especificación del indicador

Indicador Uso de identificadores de color. Gráfico de barras que representa cumplimiento en varios períodos de reporte con respecto a los umbrales (CUMPLE y NO CUMPLE).

Reportes realizados mensualmente.

Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE

Especificación de los modelos de decisión

Criterios de decisión NO CUMPLE - se requiere intervención, es necesario efectuar un análisis de las causas para determinar las razones del no cumplimiento. CUMPLE - no se requiere acción, continuar con el proceso como se viene desarrollando.

Resultados de medición

Interpretación de un indicador Tomar acciones correctivas para el siguiente periodo de medición si el indicador se encuentra en NO CUMPLE. Las acciones correctivas son Específicas de la Entidad.

Partes interesadas

Cliente de la medición Gerencia de seguridad, Gerencia de Tecnologías de la Información, La alta dirección u otra parte interesada que requiera o solicite información sobre la efectividad de los entrenamientos y charlas informativas.

Revisor de la medición Gerente de seguridad y Gerente de Tecnologías de la Información.

Propietario de la información Gerencia de seguridad, La alta dirección y Gerencia de Tecnologías de la Información. Recolector de la información Gerencia de seguridad.

124 Frecuencia / Periodicidad

Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes Frecuencia del análisis de datos Trimestral

Frecuencia del informe de los resultados de la medición

Trimestral

Revisión de la medición Revisar Trimestralmente

Período de medición Anual

Los autores

A.17.2 REDUNDANCIAS

Tabla 33. Medición para redundancias

Identificación de la estructura de medición

Nombre de la estructura de medición Redundancias Identificador numérico 17.2

Propósito de la estructura de medición

La estructura de medición tiene como propósito asegurar que la Entidad tenga un sistema de redundancias para la prestación del servicio. Objetivo del control / proceso A.17.2 Redundancias

Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de información. Control(1)/proceso(1) A.17.2.1 Disponibilidad de instalaciones de

procesamiento de información.

Control: Las instalaciones de procesamiento de información se deberían implementar con redundancia suficiente para cumplir los requisitos de disponibilidad.

Objeto de medición y atributos

Objeto de medición Totalidad de ítems implementados entorno a los sistemas de redundancia en la mejora continua de la seguridad de la información en la Entidad. 1. Gestión de implementación de sistemas

redundantes

Indicar la manera en que la Entidad garantizará la continuidad para todos sus procesos, a través de la instalación de sistemas redundantes desde el punto de vista de infraestructura TI, identificando

125

los procesos críticos al momento de evidenciar incidencias en la organización.

Atributo Preguntas puntales para realizar la verificación de la implementación de sistemas redundantes para asegurar la continuidad del negocio en la Entidad.

1) ¿Se han definido dentro de la política general de seguridad y privacidad de la información los procedimientos correctos para la continuidad del negocio, la manera en que se deben implementar sistemas redundantes, teniendo en cuenta los procesos misionales y procesos críticos en la Entidad en el momento en que se presente un incidente? (SI se evidencia o NO se evidencia)

2) ¿Se han definido dentro de la política general de seguridad y privacidad de la información los procedimientos correctos en donde se puedan a verificar si se encuentran documentados los requisitos técnicos que tienen como objetivo una correcta instalación de sistemas redundantes a nivel de infraestructura TI, así como el hecho de que este sistema sea escalable? (SI se evidencia o NO se evidencia)