Evaluación in situ

Con fecha 19 de septiembre de 2013, se emitió el Acuerdo Ministerial No. 166, publicado en el Registro Oficial No. 88 del 25 de septiembre de 2013, el cual dispone la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI) en todas las entidades de la Administración Pública Central (APC) y en su artículo 5, dispone: “realizar de forma ordinaria una revisión anual del EGSI en conformidad a las modificaciones de la norma INEN ISO/IEC 27002 que se generen y de forma extraordinaria o periódica cuando las circunstancias así lo ameriten, además definirá los procedimientos o metodologías para su actualización, implementación, seguimiento y control”.

La Evaluación se la realiza a una cantidad de hitos definidos previamente de la Fase I y Fase II, donde se evalúa la documentación, verificables y ejecución, que evidencien que la implementación del EGSI se mantiene de manera eficaz, eficiente y efectiva con el objetivo de asegurar la información crítica de la entidad además de estar en conformidad con los requisitos de la familia de normas INEN ISO/IEC 27000, legales y los del EGSI.

Resultado
Franja
Ponderación
Acciones
Buena
Verde
100%-90%
Emisión de comunicado favorable y recomendaciones de mejora continua.
Regular
Amarillo
89%-60%
Emisión de observaciones y hallazgos para correcciones a la implementación.
Mala
Naranja
59%-30%
Emisión de observaciones y hallazgos para correcciones inmediatas. Definición de hoja de ruta.
Muy Mala
Rojo
29%-0%
Emisión de observaciones y hallazgos para correcciones inmediatas. Estado urgente.
 Semáforo de Calificación

La selección de las instituciones se realiza según el cumplimiento en la implementación y a la ubicación geográfica de la institución.

La calificación de los hitos se basa en tres parámetros:

 – Documentación: Normas, políticas, procedimientos, etc, formalmente establecidos;

– Implementación (ejecución): La aplicación de lo establecido en la documentación;

– Verificables: Informes, diagramas de red, reportes, correos electrónicos, etc.

* La Subsecretaria de Gobierno Electrónico se encuentra evaluando el cumplimiento del EGSI, razón por la cual la documentación debe estar debidamente formalizada y con la evolución que cada hito ha tenido.

* Para garantizar la vigencia de la política de seguridad de la información en la institución, esta deberá ser revisada anualmente o cuando se produzcan cambios significativos a nivel operativo, legal, tecnológico, económico, entre otros. (hito 1.2 Revisión de la política, literal “a)”)