Difficulties in Identifying Sleep as a Problem associated with

Tabla 34. Medición para cumplimiento de requisitos legales Identificación de la estructura de medición

Nombre de la estructura de medición Cumplimiento de requisitos legales Identificador numérico 18.1

Propósito de la estructura de medición

El propósito de la estructura de medición es vigilar que la Entidad este cumpliendo a cabalidad las obligaciones legales correspondientes a la seguridad de la información.

Objetivo del control / proceso A.18.1 Cumplimiento de requisitos legales y contractuales

Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o contractuales relacionadas con seguridad de la información, y de cualquier requisito de seguridad.

Control(1)/proceso(1) A.18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales Control: Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, y el enfoque de la organización para cumplirlos, se deberían identificar y documentar explícitamente y mantenerlos actualizados para cada sistema de información y para la organización.

Control(2)/proceso(2) A.18.1.2 Derechos de propiedad intelectual Control: Se deberían implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos, de reglamentación y contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software patentados.

128

Control(3)/proceso(3) A.18.1.3 Protección de registros

Control: Los registros se deberían proteger contra perdida, destrucción, falsificación, acceso no autorizado y liberación no autorizada, de acuerdo con los requisitos legislativos, de reglamentación, contractuales y de negocio. Control(4)/proceso(4) A.18.1.4 Privacidad y protección de datos

personales

Control: Cuando sea aplicable, se deberían asegurar la privacidad y la protección de la información de datos personales, como se exige en la legislación y la reglamentación pertinentes.

Control(5)/proceso(5) A.18.1.5 Reglamentación de controles criptográficos

Control: Se deberían usar controles criptográficos, en cumplimiento de todos los acuerdos, legislación y reglamentación pertinentes.

Objeto de medición y atributos

Objeto de medición Totalidad de ítems implementados entorno a la mejora continua de la seguridad de la información en la Entidad.

1. Cumplimiento de la legislación vigente entorno a la seguridad de la información. Indicar la manera en que la entidad garantizará la continuidad para todos sus procesos, efectuando el respectivo cumplimiento de la legislación nacional vigente, con el fin de garantizar la seguridad de la información.

Atributo Preguntas puntales para realizar la verificación de que se está haciendo uso de la legislación vigente entorno a la Seguridad de la información en la Entidad.

1) ¿Se han definido dentro de la política general de seguridad y privacidad de la información el uso de las políticas correspondientes a la seguridad de la

129

información, teniendo en cuenta la legislación colombiana vigente? (SI se evidencia o NO se evidencia)

2) ¿Se han definido dentro de la política general de seguridad y privacidad de la información los procedimientos correctos al cumplimiento de los requisitos legislativos en cuanto al uso de software patentado (propiedad intelectual) en la Entidad? (SI se evidencia o NO se evidencia)

3) ¿Se han definido dentro de la política general de seguridad y privacidad de la información los procedimientos correctos para el manejo pertinente de los registros de información en la Entidad teniendo en cuenta la legislación vigente? (SI se evidencia o NO se evidencia)

4) ¿Se han definido dentro de la política general de seguridad y privacidad de la información los procedimientos correctos en cuanto a la publicación de políticas pertinentes al tratamiento de datos personales, tales como la ley 1581 de 2012 en donde se reglamenta por parte del Estado colombiano el tratamiento de la información? (SI se evidencia o NO se evidencia)

5) ¿Se han definido dentro de la política general de seguridad y privacidad de la información los procedimientos correctos para hacer uso de controles criptográficos en la transferencia de información tanto manera interna como en relaciones con terceros a la Entidad? (SI se evidencia o NO se evidencia) Especificación de medidas base (para cada medida base [1..n])

Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1 CUMPLE (SI se evidencia)

2) 0 NO CUMPLE (NO se evidencia); 1 CUMPLE (SI se evidencia)

130

3) 0 NO CUMPLE (NO se evidencia); 1 CUMPLE (SI se evidencia)

4) 0 NO CUMPLE (NO se evidencia); 1 CUMPLE (SI se evidencia)

5) 0 NO CUMPLE (NO se evidencia); 1 CUMPLE (SI se evidencia)

Especificación de medida derivada

Función de medición 1) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE 2) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE 3) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE 4) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE 5) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE

Especificación del indicador

Indicador Uso de identificadores de color. Gráfico de barras que representa cumplimiento en varios períodos de reporte con respecto a los umbrales (CUMPLE y NO CUMPLE).

Reportes realizados mensualmente.

Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE

Especificación de los modelos de decisión

Criterios de decisión NO CUMPLE - se requiere intervención, es necesario efectuar un análisis de las causas para determinar las razones del no cumplimiento. CUMPLE - no se requiere acción, continuar con el proceso como se viene desarrollando.

Resultados de medición

Interpretación de un indicador Tomar acciones correctivas para el siguiente periodo de medición si el indicador se encuentra en NO CUMPLE. Las acciones correctivas son Específicas de la Entidad.

Partes interesadas

Cliente de la medición Gerencia de seguridad, Gerencia de Tecnologías de la Información, Gerencia jurídica, La alta dirección u otra parte interesada que requiera o solicite información sobre la

131

efectividad de los entrenamientos y charlas informativas.

Revisor de la medición Gerente de seguridad, Gerente jurídico y Gerente de Tecnologías de la Información. Propietario de la información Gerencia de seguridad, La alta dirección,

Gerencia jurídica y Gerencia de Tecnologías de la Información.

Recolector de la información Gerencia de seguridad. Frecuencia / Periodicidad

Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes Frecuencia del análisis de datos Trimestral

Frecuencia del informe de los resultados de la medición

Trimestral

Revisión de la medición Revisar Trimestralmente

Período de medición Anual

Los autores