¡Comencemos!

1

1. ¿Tienen un inventario completo y preciso de los activos de TI (sistemas, infraestructura, dispositivos, hardware, etc.) que se mantiene y actualiza automática o manualmente de forma regular?* This field is required.

a) Sí, se recopila y mantiene un inventario de todos los activos y, además, la información se verifica periódicamente para determinar si está actualizada y si es precisa

b) Sí, se recopila y mantiene un inventario de todos los activos pero no necesariamente se actualiza

c) Sí, pero no cubre todos los activos (o no lo sé)

d) No

2

2. ¿Disponen de soluciones o servicios que filtran el correo electrónico potencialmente malicioso? (Por Ejemplo, spam, correos electrónicos de phishing, etc).* This field is required.

a) Sí, y la organización prueba periódicamente la eficacia de la capacidad de detección y bloqueo de la herramienta/ servicio

b) Sí, pero no está completamente implementado

c) No

3

3. ¿Disponen de soluciones de “Seguridad de Punto Final”? (Como Kaspersky Endpoint, EDR, Sophos, Symantec Endpoint Protection, McAfee, etc.)* This field is required.

a) Sí, y la organización prueba periódicamente la eficacia de la capacidad de detección y bloqueo de la herramienta/ servicio

b) Sí, pero no esta completamente implementado

c) No

4

4. ¿Disponen de herramientas/ servicios de escaneo de vulnerabilidades para identificar brechas en activos de TI externos e internos? (Como FSecure Radar, Qualys, Rapid7, Tenable, etc)* This field is required.

a) Sí, el análisis de vulnerabilidades se realiza de forma regular y completa y además la organización realiza pruebas de penetración periódicas para medir el éxito del escaneo

b) Sí, el análisis de vulnerabilidades se realiza de forma regular y completa

c) Sí, pero el escaneo no se realiza de manera consistente, completa o regular (o no lo sé)

d) No

5

5. ¿Disponen de la capacidad de parchear las vulnerabilidades identificadas de manera oportuna? (Por ejemplo, vulnerabilidades críticas dentro de las 48 horas, etc.)* This field is required.

a) Tenemos la capacidad de parchear las vulnerabilidades identificadas, en el tiempo adecuado y además volviendo a evaluarlas a través del análisis de vulnerabilidades

b) Tenemos la capacidad de parchear las vulnerabilidades identificadas, en el tiempo adecuado pero no volvemos a evaluarlas a través de un análisis de vulnerabilidades

c) Tenemos la capacidad de parchear las vulnerabilidades identificadas, pero no lo hacemos en el tiempo adecuado ni volvemos a evaluarlas a través de un análisis de vulnerabilidades

d) No

6

6. ¿Disponen de una herramienta o servicio que actúa como un administrador de eventos e información de seguridad (SIEM) o un proveedor de servicios de seguridad administrado (MSSP) externo para analizar registros, alertas y otra información recopilada en busca de comportamientos sospechosos?* This field is required.

a) Sí, y la organización realiza pruebas de penetración periódicas/ formación de red teams para medir el éxito de la detección y las alertas

b) Sí, pero las capacidades no se prueban con regularidad

c) Sí, pero solo se recopilan y/ o analizan algunos registros/ alertas (o no lo sé)

d) No

7

Total Herramientas de Seguridad

8

7. ¿Pueden los empleados acceder de forma remota desde fuera de la oficina?* This field is required.

a) Sí

b) No

9

8. ¿Pueden los empleados acceder de forma remota utilizando sus propios dispositivos personales?* This field is required.

a) Sí

b) Sí, pero los métodos de acceso varían

c) No

10

9. ¿Utilizan autenticación multifactor en la VPN para acceso remoto?* This field is required.

a) Sí

b) Sí, pero no está completamente implementado

c) No/ No aplica

11

10. ¿Realizan "regularmente" (al menos una vez al año) pruebas de seguridad para evaluar la eficacia de sus capacidades de gestión de identidad, acceso y autenticación?* This field is required.

a) Sí

b) No estoy seguro

c) No

12

Total acceso remoto y autenticación

13

11. ¿Realizan capacitaciones de seguridad recurrentes para sus empleados?* This field is required.

a) Sí

b) Sí, pero no de forma regular

c) No

14

12. ¿La capacitación incluye información específica sobre cómo reconocer los ataques de ingeniería social? (Por ejemplo: phishing, caída de medios, manipulación humana)* This field is required.

a) Sí

b) No

15

13. ¿Evalúan a los empleados sobre la comprensión de los conocimientos?* This field is required.

a) Sí

b) No

16

Total Formación en Seguridad

17

14. ¿Disponen de políticas de hardening y baseline para los activos de la organización (estaciones de trabajo, servidores, máquinas virtuales, infraestructura de perímetro etc.) basadas en estándares reconocidos?* This field is required.

a) Sí, existen políticas de hardening y baseline y, además, se auditan/ evalúan periódicamente para determinar si están actualizadas y configuradas correctamente

b) Sí, existen políticas de hardening y baseline

c) Hay políticas pero internamente no se conocen

d) No

18

15) ¿Disponen de un plan de respuesta a incidentes? El mismo ¿Es revisado por la gerencia y actualizado periódicamente?* This field is required.

a) Sí, la organización realiza ejercicios anuales para familiarizar a los líderes con sus roles y responsabilidades en caso de un incidente basado en el plan

b) Sí, existe un plan de respuesta a incidentes pero puede o no ser probado regular o anualmente

c) No

19

16. ¿Disponen de procesos y procedimientos implementados para identificar, clasificar, etiquetar y segmentar información y datos críticos?* This field is required.

a) Sí, y las unidades de negocio y los activos relacionados de la organización están escalonados y segmentados según su criticidad y/ o nivel de clasificación

b) Sí, pero los artículos están clasificados etiquetados y/ o segmentados de manera inconsistente (o no lo sé)

c) No

20

17. ¿Disponen de políticas, estándares y procedimientos de TI y seguridad que se revisan y actualiza al menos una vez al año y están fácilmente disponibles para los empleados y el personal de TI/ seguridad?* This field is required.

a) Sí

b) Sí, las políticas y los estándares se actualizan pero con poca frecuencia (o no lo sé)

c) No

21

Total Gobierno de Seguridad

22

18. ¿Disponen de algún servicio, encargado, equipo de respuesta a incidentes y/o SOC para analizar y responder a posibles incidentes de ciberseguridad?* This field is required.

a) Sí, la organización cuenta con un proveedor de servicios de seguridad administrada fuera del sitio para detectar y alertar sobre posibles incidentes

b) Sí, hay un equipo interno dedicado que monitorea la organización las 24 horas del día los 7 días de la semana

c) Sí, pero el equipo interno tiene otras responsabilidades de TI/ seguridad y no supervisa las 24 horas del día los 7 días de la semana

d) No

23

19. ¿Disponen de procesos y procedimientos implementados para respaldar y recuperar datos confidenciales de clientes y corporativos?* This field is required.

a) Sí, y además cumplimos con los estándares y normativas que regulan la administración de datos personales

b) Contamos con algunos procesos y procedimientos asociados al respaldo y recuperación de datos

c) No

24

20. ¿Disponen de políticas y rutinas de backup?* This field is required.

a) Sí, y además se hacen pruebas de restauración regularmente

b) Sí

c) No

25

Total respuesta y recuperación

26

ResultadoResultado final y total

27

Nombre y Apellido* This field is required.

Nombre

Apellido

28

Email Corporativo* This field is required.

ejemplo@ejemplo.com

29

Empresa* This field is required.

30

Cantidad de empleados en la organización* This field is required.

31

Cargo* This field is required.

32

País* This field is required.

33

Por favor, complete el siguiente captcha.* This field is required.