Saltar al contenido
Menú
Inicio
La Empresa
Tienda Online
Contacto
Blog
(507) 64601160
Autoevaluacion de Madurez en Ciberseguridad
Por favor, activa JavaScript en tu navegador para completar este formulario.
Por favor, activa JavaScript en tu navegador para completar este formulario.
-
PASO
1
DE 7
DATOS PERSONALES
Nombre y Apellido
*
Empresa / Organización
*
Página Web
*
Correo electrónico
*
Correo electrónico
Confirmar el correo electrónico
Número de Teléfono
*
Cargo
*
CEO
CIO / Director de Tecnología
Director de Operaciones
Director de Logística
Gerente General
Gerente de Operaciones
Director de Seguridad / Compliance
Acuerdo RGPD
*
Autorizo a la empresa Tecnologia Altermedios MSS, Inc. a recopilar, almacenar y tratar los datos personales facilitados a través de este formulario, con el fin exclusivo de atender mi solicitud, de conformidad con la Ley 81 de 2019 sobre Protección de Datos Personales de la República de Panamá y sus disposiciones reglamentarias.
Siguiente
SOBRE ESTE INSTRUMENTO
Este cuestionario permite medir el nivel de madurez en ciberseguridad de su organización, evaluando seis dominios clave alineados con marcos de referencia internacionales como el NIST Cybersecurity Framework, ISO/IEC 27001 y el modelo CMMC. Los resultados permitirán identificar brechas y definir un plan de acción priorizado.
INSTRUCCIONES PARA EL DILIGENCIAMIENTO
1)Para cada pregunta, seleccione el nivel (0 a 5) que mejor describe el estado actual de su organización. 2)Sea objetivo en sus respuestas, la precisión del diagnóstico depende de la honestidad con que se evalúe cada ítem. 3)Las preguntas marcadas con (*) son de respuesta obligatoria. 4)Al finalizar, un consultor de Grupo 29 procesará los resultados y le estará contactando.
ESCALA DE VALORACIÓN
Descripción del nivel de madurez: 0)No existe o no se conoce su estado.1)Existe parcialmente, de manera informal o no documentada.2)Existe y está implementado, pero sin supervisión regular o evidencia verificable.3)Existe, está implementado, supervisado y puede demostrarse con evidencia.
DOMINIO 1 – Políticas y Directrices de Seguridad
Evalúa si la organización cuenta con reglas formales, aprobadas y comunicadas sobre el uso seguro de los sistemas de información.
1.1) ¿La empresa tiene reglas escritas sobre el uso de computadores?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
1.2) ¿La dirección ha aprobado formalmente estas políticas de seguridad?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
1.3) ¿Las políticas son revisadas y actualizadas de forma periódica?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
1.4) ¿Los empleados conocen las reglas?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
– Seguridad en
1.5) ¿Existe un responsable para mantener las políticas vigentes?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
Siguiente
DOMINIO 2 – Control de Accesos
Evalúa si la organización aplica controles técnicos para restringir el acceso a los sistemas únicamente a usuarios autorizados.
2.1) ¿Para acceder a los sistemas se exige una contraseña de acceso?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
2.2) ¿Se requiere un segundo factor de autenticación (2FA/MFA) para acceder a sistemas críticos?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
2.3) ¿El acceso está limitado según el rol?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
2.4) ¿Se revocan los accesos cuando alguien sale de la empresa?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
2.5) ¿Se realizan revisiones periódicas de los permisos de acceso?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
Siguiente
DOMINIO 3 – Monitoreo y Auditoría de Sistemas
Evalúa la capacidad de la organización para registrar, supervisar y auditar el uso de sus sistemas e infraestructura tecnológica.
3.1) ¿Se puede monitorear el uso de la conexión a internet corporativa?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
3.2) ¿Se pueden auditar las acciones de los usuarios en los sistemas?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
3.3) ¿Ante un incidente, se pueden reconstruir los eventos ocurridos?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
3.4) ¿Se notifica formalmente a la gerencia sobre eventos de seguridad o anomalías detectadas?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
3.5) ¿Las capacidades de monitoreo y los registros generados podrían ser presentados como evidencia ante una autoridad competente?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
Siguiente
DOMINIO 4 – Gestión de Incidentes de Seguridad
Evalúa si la organización está preparada para detectar, responder y documentar incidentes de ciberseguridad de forma estructurada.
4.1) ¿Existen soluciones de seguridad activas (firewall, antivirus, etc) que protejan la infraestructura de red y los endpoints?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
4.2) ¿Estas herramientas generan alertas cuando detectan amenazas?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
4.3) ¿Está definido formalmente quién recibe, clasifica y escala las alertas de seguridad?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
4.4) ¿Existe un procedimiento documentado de respuesta ante incidentes?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
4.5) ¿Es posible tomar medidas inmediatas para contener un problema?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
4.6) ¿Las acciones tomadas durante un incidente quedan documentadas?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
Siguiente
DOMINIO 5 – Gobierno y Responsabilidades en Ciberseguridad
Evalúa si la organización tiene claramente definidas las responsabilidades, la cadena de mando y los procesos de mejora continua en materia de ciberseguridad.
5.1) ¿Se sabe a quién informar un problema grave?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
5.2) ¿Están definidos los roles para tomar decisiones durante un incidente?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
5.3) ¿Está definido quién investiga?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
5.4) ¿Está definido quién responde y controla la situación?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
5.5) ¿La alta dirección es informada formalmente?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
5.6) ¿Tras un incidente se analiza la causa y se implementan mejoras preventivas?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
5.7) ¿Se realizan revisiones del programa de seguridad para verificar su eficacia?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
5.8) ¿Se contratan terceros para realizar auditorías o pruebas de seguridad?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
Siguiente
DOMINIO 6 – Gestión de Proveedores de Tecnología y Software
6.1) ¿Se evalúan los estándares de seguridad de los proveedores antes de contratarlos?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
6.2) ¿Los contratos con proveedores incluyen cláusulas de seguridad de la información y protección de datos?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
6.3) ¿Se han realizado auditorías externas de seguridad a proveedores críticos?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
6.4) ¿La dirección conoce y hace seguimiento a los resultados de dichas auditorías?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
6.5) ¿Se verifica la seguridad del software antes de su implementación en producción?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
6.6) ¿Existe control sobre los programas que se instalan en los equipos corporativos?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
6.7) ¿Se realizan pruebas ó análisis de vulnerabilidades al software desarrollado o adquirido?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
6.8) ¿Las licencias de software y las versiones de sistemas están al día y dentro del soporte oficial del fabricante?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
6.9) ¿Se monitorea si las credenciales corporativas han sido filtradas o comprometidas en brechas de datos?
*
0) No existe o no se conoce su estado.
1) Existe parcialmente, de manera informal o no documentada.
2) Existe y está implementado, pero sin supervisión regular o evidencia verificable.
3) Existe, está implementado, supervisado y puede demostrarse con evidencia.
Enviar
Ir a Tienda
