¡Comencemos!

1

1. ¿Tienen un inventario completo y preciso de los activos de TI (sistemas, infraestructura, dispositivos, hardware, etc.) que se mantiene y actualiza automática o manualmente de forma regular?* Este campo es obligatorio.

a) Sí, se recopila y mantiene un inventario de todos los activos y, además, la información se verifica periódicamente para determinar si está actualizada y si es precisa

b) Sí, se recopila y mantiene un inventario de todos los activos pero no necesariamente se actualiza

c) Sí, pero no cubre todos los activos (o no lo sé)

d) No

2

2. ¿Disponen de soluciones o servicios que filtran el correo electrónico potencialmente malicioso? (Por Ejemplo, spam, correos electrónicos de phishing, etc).* Este campo es obligatorio.

a) Sí, y la organización prueba periódicamente la eficacia de la capacidad de detección y bloqueo de la herramienta/ servicio

b) Sí, pero no está completamente implementado

c) No

3

3. ¿Disponen de soluciones de “Seguridad de Punto Final”? (Como Kaspersky Endpoint, EDR, Sophos, Symantec Endpoint Protection, McAfee, etc.)* Este campo es obligatorio.

a) Sí, y la organización prueba periódicamente la eficacia de la capacidad de detección y bloqueo de la herramienta/ servicio

b) Sí, pero no esta completamente implementado

c) No

4

4. ¿Disponen de herramientas/ servicios de escaneo de vulnerabilidades para identificar brechas en activos de TI externos e internos? (Como FSecure Radar, Qualys, Rapid7, Tenable, etc)* Este campo es obligatorio.

a) Sí, el análisis de vulnerabilidades se realiza de forma regular y completa y además la organización realiza pruebas de penetración periódicas para medir el éxito del escaneo

b) Sí, el análisis de vulnerabilidades se realiza de forma regular y completa

c) Sí, pero el escaneo no se realiza de manera consistente, completa o regular (o no lo sé)

d) No

5

5. ¿Disponen de la capacidad de parchear las vulnerabilidades identificadas de manera oportuna? (Por ejemplo, vulnerabilidades críticas dentro de las 48 horas, etc.)* Este campo es obligatorio.

a) Tenemos la capacidad de parchear las vulnerabilidades identificadas, en el tiempo adecuado y además volviendo a evaluarlas a través del análisis de vulnerabilidades

b) Tenemos la capacidad de parchear las vulnerabilidades identificadas, en el tiempo adecuado pero no volvemos a evaluarlas a través de un análisis de vulnerabilidades

c) Tenemos la capacidad de parchear las vulnerabilidades identificadas, pero no lo hacemos en el tiempo adecuado ni volvemos a evaluarlas a través de un análisis de vulnerabilidades

d) No

6

6. ¿Disponen de una herramienta o servicio que actúa como un administrador de eventos e información de seguridad (SIEM) o un proveedor de servicios de seguridad administrado (MSSP) externo para analizar registros, alertas y otra información recopilada en busca de comportamientos sospechosos?* Este campo es obligatorio.

a) Sí, y la organización realiza pruebas de penetración periódicas/ formación de red teams para medir el éxito de la detección y las alertas

b) Sí, pero las capacidades no se prueban con regularidad

c) Sí, pero solo se recopilan y/ o analizan algunos registros/ alertas (o no lo sé)

d) No

7

Total Herramientas de Seguridad

8

7. ¿Pueden los empleados acceder de forma remota desde fuera de la oficina?* Este campo es obligatorio.

a) Sí

b) No

9

8. ¿Pueden los empleados acceder de forma remota utilizando sus propios dispositivos personales?* Este campo es obligatorio.

a) Sí

b) Sí, pero los métodos de acceso varían

c) No

10

9. ¿Utilizan autenticación multifactor en la VPN para acceso remoto?* Este campo es obligatorio.

a) Sí

b) Sí, pero no está completamente implementado

c) No/ No aplica

11

10. ¿Realizan "regularmente" (al menos una vez al año) pruebas de seguridad para evaluar la eficacia de sus capacidades de gestión de identidad, acceso y autenticación?* Este campo es obligatorio.

a) Sí

b) No estoy seguro

c) No

12

Total acceso remoto y autenticación

13

11. ¿Realizan capacitaciones de seguridad recurrentes para sus empleados?* Este campo es obligatorio.

a) Sí

b) Sí, pero no de forma regular

c) No

14

12. ¿La capacitación incluye información específica sobre cómo reconocer los ataques de ingeniería social? (Por ejemplo: phishing, caída de medios, manipulación humana)* Este campo es obligatorio.

a) Sí

b) No

15

13. ¿Evalúan a los empleados sobre la comprensión de los conocimientos?* Este campo es obligatorio.

a) Sí

b) No

16

Total Formación en Seguridad

17

14. ¿Disponen de políticas de hardening y baseline para los activos de la organización (estaciones de trabajo, servidores, máquinas virtuales, infraestructura de perímetro etc.) basadas en estándares reconocidos?* Este campo es obligatorio.

a) Sí, existen políticas de hardening y baseline y, además, se auditan/ evalúan periódicamente para determinar si están actualizadas y configuradas correctamente

b) Sí, existen políticas de hardening y baseline

c) Hay políticas pero internamente no se conocen

d) No

18

15) ¿Disponen de un plan de respuesta a incidentes? El mismo ¿Es revisado por la gerencia y actualizado periódicamente?* Este campo es obligatorio.

a) Sí, la organización realiza ejercicios anuales para familiarizar a los líderes con sus roles y responsabilidades en caso de un incidente basado en el plan

b) Sí, existe un plan de respuesta a incidentes pero puede o no ser probado regular o anualmente

c) No

19

16. ¿Disponen de procesos y procedimientos implementados para identificar, clasificar, etiquetar y segmentar información y datos críticos?* Este campo es obligatorio.

a) Sí, y las unidades de negocio y los activos relacionados de la organización están escalonados y segmentados según su criticidad y/ o nivel de clasificación

b) Sí, pero los artículos están clasificados etiquetados y/ o segmentados de manera inconsistente (o no lo sé)

c) No

20

17. ¿Disponen de políticas, estándares y procedimientos de TI y seguridad que se revisan y actualiza al menos una vez al año y están fácilmente disponibles para los empleados y el personal de TI/ seguridad?* Este campo es obligatorio.

a) Sí

b) Sí, las políticas y los estándares se actualizan pero con poca frecuencia (o no lo sé)

c) No

21

Total Gobierno de Seguridad

22

18. ¿Disponen de algún servicio, encargado, equipo de respuesta a incidentes y/o SOC para analizar y responder a posibles incidentes de ciberseguridad?* Este campo es obligatorio.

a) Sí, la organización cuenta con un proveedor de servicios de seguridad administrada fuera del sitio para detectar y alertar sobre posibles incidentes

b) Sí, hay un equipo interno dedicado que monitorea la organización las 24 horas del día los 7 días de la semana

c) Sí, pero el equipo interno tiene otras responsabilidades de TI/ seguridad y no supervisa las 24 horas del día los 7 días de la semana

d) No

23

19. ¿Disponen de procesos y procedimientos implementados para respaldar y recuperar datos confidenciales de clientes y corporativos?* Este campo es obligatorio.

a) Sí, y además cumplimos con los estándares y normativas que regulan la administración de datos personales

b) Contamos con algunos procesos y procedimientos asociados al respaldo y recuperación de datos

c) No

24

20. ¿Disponen de políticas y rutinas de backup?* Este campo es obligatorio.

a) Sí, y además se hacen pruebas de restauración regularmente

b) Sí

c) No

25

Total respuesta y recuperación

26

ResultadoResultado final y total

27

Nombre y Apellido* Este campo es obligatorio.

Nombre

Apellido

28

Email Corporativo* Este campo es obligatorio.

ejemplo@ejemplo.com

29

Empresa* Este campo es obligatorio.

30

Cantidad de empleados en la organización* Este campo es obligatorio.

31

Cargo* Este campo es obligatorio.

32

País* Este campo es obligatorio.

33

Por favor, complete el siguiente captcha.* Este campo es obligatorio.