Queremos apoyarlo en evaluar su nivel de Ciberseguridad y así avanzar hacia las mejores prácticas mundiales.
1
¿La Ciberseguridad ha sido abordada desde el nivel estratégico en su organización y se reconoce su impacto en el logro de los objetivos del negocio?
Tenga en cuenta algunas Directrices de Ciberseguridad (ISO 27032:2012- Cybersecurity Framework NIST)
No, porque es un tema de responsabilidad del área de tecnología.
Sí, cada trimestre se presenta un balance de los incidentes de Seguridad a la Junta Directiva.
Sí, hemos creado nuevos roles en la organización para liderar el plan de Ciberseguridad (CISO).
Sí, la organización cuenta con un Sistema de Gestión de Ciberseguridad que incluye (Identificar, Proteger, Detectar, Responder, Recuperar).
2
¿En el último año ha realizado una auditoría para identificar el nivel de madurez del modelo de Ciberseguridad en su organización?
No, no se ha considerado.
Sí, aunque no estoy seguro si el alcance incluye aspectos de Ciberseguridad.
Sí, hay un plan anual de auditoría en la organización.
Sí, a través del comité de auditoria y de control interno definimos los alcances.
3
¿Sus colaboradores y proveedores conocen y aplican la política de seguridad de la información en su organización?
Una política debe considerar alcance y la alineación con los objetivos de la organización
No, la Política es responsabilidad del área TI.
Sí, hemos empezado a definir la política de seguridad y privacidad de la información basada en el Modelo de Seguridad y Privacidad.
Sí, pero no estoy seguro si los roles y responsabilidades han desplegado la política y generado controles necesarios.
Sí, la Política de seguridad y privacidad de la información se revisa, actualiza y además se divulga por parte de la alta dirección a las partes interesadas.
4
¿Conoce las vulnerabilidades técnicas de los sistemas de información que se usan en su empresa?
Tenga en cuenta si ha evaluado el riesgo de exposición a estas vulnerabilidades y las medidas adoptadas para tratar el riesgo asociado.
No, no estoy seguro.
Sí, tenemos identificado el riesgo y los roles de los responsables de la gestión de vulnerabilidades.
Sí, frecuentemente recibimos notificaciones de proveedores y otras fuentes públicas y privadas sobre nuevas vulnerabilidades.
Sí, se ha establecido una política y se verifica la criticidad de la vulnerabilidad, se establece una línea de tiempo de remediación y se confirma la fuente de la actualización antes de ser ejecutada.
5
¿Cuenta en la actualidad con soluciones de Hardware y Software que le ayuden a identificar las Ciberamenazas y gestionar los incidentes ?
Tenga en cuenta si su organización dispone de soluciones enfocadas en la prevención.
No, no estoy seguro.
Sí, tenemos firewall y antivirus actualizados.
Si, hemos implementado soluciones adicionales para proteger nuestros servicios y aplicativos en la nube (WAF-Otros).
Si, la organización ha considerado un modelo de seguridad gestionada a través de un SOC y acceso Inteligencia de amenazas para mejorar la capacidad de detección y gestión(SOAR).
6
¿Su empresa ha implementado controles y/o tecnología para garantizar específicamente a los usuarios autorizados el acceso a la red y a otros servicios?
Tenga en cuenta en esta respuesta la adecuada gestión de usuarios, autenticación fuerte.
No, no estoy seguro.
Sí, realizamos auditorias semestrales en el directorio activo, para identificar y eliminar usuarios no autorizados.
Sí, se cuenta con tecnología de control de acceso y autenticación fuerte (SCA).
Sí, existe un plan de implementación de soluciones para administrar usuarios, actualizamos la política y realizamos auditorías periódicas.
7
¿Su empresa dispone y aplica una política de seguridad en los procesos de desarrollo y de soporte?
Considere entre otros aspectos: desarrollo seguro (software y sistemas), pruebas en los cambios de plataformas y revisión de aplicaciones críticas.
No, no estoy seguro.
No, tercerizamos el desarrollo de aplicaciones y sistemas por tanto la seguridad está a cargo del proveedor.
Sí, cada nuevo desarrollo es revisado por un tercero que valida la seguridad del código.
Sí, para nuestra empresa la seguridad de la información está diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información.
8
¿Cuenta con un plan de continuidad de negocio derivado de un ciberataque?
Considere los siguientes elementos: Adaptación del Liderazgo, Competencias organizacionales, Análisis de riesgos
Planes y protocolos, Manejo de información, Proceso de mejora continua.
No, estamos considerando diseñarlo e implementarlo.
Sí, aunque hemos tercerizado la gestión de nuestro plan de continuidad, no estoy seguro de cubrir todas las variables planteadas.
Sí, lo tenemos considerado, sin embargo no tenemos un plan de pruebas, ni de mantenimiento al mismo.
Sí, nuestro plan asegura la restauración de los sistemas o activos afectados por incidentes de ciberseguridad, actualizamos la estrategia de recuperación a través de lecciones aprendidas.
9
¿Su empresa dispone de un plan de capacitación y sensibilización para empleados y contratistas en temas de Ciberseguridad ?
No, no estoy seguro.
Sí, cuando ingresa un nuevo colaborador se le hace entrega por escrito de la política de seguridad de la información.
Sí, habitualmente enviamos piezas informativas alusivas a la ciberseguridad.
Sí, Nuestra organización realiza jornadas semestrales de capacitación en Ciberseguridad.
10
¿Considera que su Organización cumple la legislación en materia de ciberseguridad?
Valore las actuales normativas y obligaciones de reporte de ciberincidentes según el sector de la industria que aplica. Incluye Régimen de Protección de datos personales y demás Cibercompliance
No, no estoy seguro.
No, porque esa temática es exclusiva del área jurídica.
Sí, hemos revisado la actualización normativa y ajustado algunas políticas.
Sí, hemos adecuado nuestros procesos a las actuales regulaciones y garantizamos la aplicación de los principios y protocolos de seguridad.