Metodología
Dimensiones del nivel de aplicación de prácticas de seguridad de la información
La Seguridad de la Información considera cuatro dimensiones que permiten potenciar la aplicación de prácticas de seguridad de la información en el sector público:
Figura 1. Dimensiones del Nivel de Aplicación de Prácticas de Seguridad de la información
Fuente: Elaboración CGR.
Comprende el análisis de las acciones ejecutadas por la institución para el establecimiento de la ruta a seguir tanto a nivel estratégico como operativo en procura de un desempeño eficiente y eficaz de la aplicación del sistema de gestión de la seguridad de la información y ciberseguridad institucional; así como, la determinación de la estructura organizativa, las relaciones y coordinación requeridas para su funcionamiento; con el fin de atender las necesidades de la población objetivo, resguardar la información y brindar la continuidad de los servicios públicos. Para ello incorpora acciones específicas relacionadas con la estrategia y aplicación de mecanismos de control, la gestión de riesgos y el seguimiento y control referidas a la seguridad de la información.
Contempla el análisis de las acciones ejecutadas por la institución en cuanto a la definición e implementación de líneas rectoras y orientadoras para direccionar y guiar el sistema de gestión de seguridad de la información y ciberseguridad, en miras de lograr el resguardo de la información y la continuidad del servicio público. En la dimensión de liderazgo y cultura se consideran aspectos como la relación entre el gobierno corporativo, la cultura organizacional y la seguridad de la información, asi como la promoción de la concientización del personal sobre la gestión de la información y ciberseguridad.
Considera aspectos que comprenden el análisis del esquema formal definido para el desempeño del sistema de gestión de seguridad de la información y ciberseguridad institucional, así como la forma en la cual se asegura la obtención de información relevante para la toma de decisiones, con el fin de lograr el resguardo de la información y continuidad del servicio público. Además incorpora prácticas referidas al manejo y custodia de la información y la aplicación de prácticas básicas de ciberseguridad.
Contempla las acciones desarrolladas por la institución para la definición de las habilidades, conocimientos e idoneidad requerida por el personal responsable del sistema de gestión de la seguridad de la información y ciberseguridad, así como de las actividades implementadas para el resguardo de la información y la continuidad del servicio público. Para dicho análisis, considera aspectos referidos a la competencia del personal dedicado a la seguridad de la información y ciberseguridad así como los mecanismos de colaboración y transferencias de conocimientos al personal institucional sobre seguridad de la información.
Estrategia de recolección de información
El instrumento aplicado a las 267 instituciones públicas está compuesto por 39 preguntas distribuidas en las cuatro dimensiones detalladas anteriormente, las cuales fueron diseñadas con base en fundamento teórico, normativo y prácticas aplicables. Además, se realizó un proceso de validación con personas expertas en las temáticas abordadas. Las preguntas cuentan con una distribución uniforme en cada uno de los citados componentes.
Figura 2. Estructura de las preguntas del Nivel de Aplicación de Prácticas de Seguridad de la Información
Fuente: Elaboración CGR.
Figura 3. Niveles de Aplicación de Prácticas de Seguridad de la Información
Fuente: Elaboración CGR.
Cada pregunta del instrumento cuenta con tres posibles opciones de respuesta: selección única, selección múltiple y respuesta corta que en conjunto permiten determinar el nivel de aplicación, el cual se clasifica en cinco escalas, de acuerdo con las respuestas suministradas por cada institución, tal y como se muestra a continuación:
Para el proceso de validación de las respuestas del instrumento remitidas por las instituciones, se procedió a revisar algunos instrumentos remitidos por las instituciones, específicamente en 5 instituciones se revisó los documentos de respaldo por parte del equipo de auditoría y en 59 instituciones se contó con la colaboración de las Auditorías Internas, en ambos escenarios se solicitaron los expedientes digitales para validar los documentos que respaldan las respuestas y realimentar a las instituciones, en los casos que se consideró necesario. Cabe señalar que 6 instituciones públicas no respondieron el instrumento, por lo que se ajustó el nivel más bajo de la aplicación de prácticas de seguridad de la información en las instituciones públicas.
Además es importante señalar que los niveles de aplicación que se muestran en la página de "Resultados" se encuentran las instituciones públicas agrupadas de acuerdo al sector y grupo institucional definido en la metodología del Seguimiento de la Gestión Pública, el cual se encuentra detallado en la ficha técnica adjunta.
Descarga de Archivos
Ficha Técnica.pdfFicha Técnica
Instrumento final.pdfInstrumento
Marco de Referencia.pdfMarco de Referencia