Evaluación de Ciberseguridad: Descubra la puntuación de seguridad de su empresa

Bienvenido a la Evaluación de Ciberseguridad de ne Digital. En este post, nuestros expertos ponen a prueba el nivel de seguridad de su empresa, a través de un cuestionario basado en las buenas prácticas de gobernanza del NIST, junto a los requerimientos de las 5 funciones de su Cybersecurity Framework:

• Identificar
• Proteger
• Detectar
• Responder 
• Recuperar

A través de una serie de preguntas detalladas, podrá identificar áreas de fortaleza y oportunidades de mejora. Sume los puntos según sus respuestas y conozca su nivel de seguridad en cada ámbito crítico de su estrategia.

Evaluación de Ciberseguridad: descubra su puntaje

1. Gobernar

I. Políticas y procedimientos de Ciberseguridad

• ¿Cómo describe las políticas y procedimientos de Ciberseguridad de su empresa?

  • 10 puntos: Se registran y documentan políticas claras alineadas a mis objetivos de ciberseguridad.
  • 5 puntos: Cuento con un marco de políticas, pero se me dificulta el seguimiento y análisis.
  • 2 puntos: Empleo mecanismos de compliance frecuentes, pero no han sido formalizados como políticas.
  • 0 puntos: Mi empresa aún no cuenta con políticas a nivel práctico e institucional.

II. Estrategia de gestión de riesgos

• ¿Tiene su organización una estrategia formal de gestión de riesgos cibernéticos?

  • 10 puntos: Sí, la estrategia está formalizada y revisada periódicamente.
  • 5 puntos: Sí, pero la implementación es parcial y necesita mejoras.
  • 2 puntos: No formalizada, pero consideramos riesgos en decisiones importantes.
  • 0 puntos: No, no tenemos una estrategia formal de gestión de riesgos.

III. Supervisión y revisión de la Ciberseguridad

• ¿Qué tan frecuente es la revisión y supervisión de sus políticas de Ciberseguridad?

  • 10 puntos: Revisiones trimestrales o más frecuentes.
  • 5 puntos: Revisiones anuales.
  • 2 puntos: Revisiones esporádicas sin un cronograma fijo.
  • 0 puntos: No realizamos revisiones formales.

IV. Capacitación y concienciación

• ¿Implementa su organización programas de capacitación y concienciación en Ciberseguridad?

  • 10 puntos: Programas regulares y obligatorios para todo el personal.
  • 5 puntos: Programas esporádicos y no obligatorios.
  • 2 puntos: Solo formación básica para ciertos empleados.
  • 0 puntos: No ofrecemos capacitación en Ciberseguridad.

Conozca su puntaje en Gobernanza

• 31-40 puntos: Nivel de Gobernanza Óptimo
• 21-30 puntos: Nivel de Gobernanza Adecuado
• 11-20  puntos: Nivel de Gobernanza Básico
• Menos de 10 puntos: Nivel de Gobernanza Crítico

2. Identificar

I. Inventario de activos

• ¿Mantiene su organización un inventario actualizado de todos los activos tecnológicos?

  • 10 puntos: Sí, contamos con un inventario completo y actualizado regularmente.
  • 5 puntos: Sí, pero no se actualiza con la frecuencia necesaria.
  • 2 puntos: Parcialmente, tenemos inventarios para algunos activos críticos.
  • 0 puntos: No, no mantenemos un inventario de activos.

II. Evaluación de riesgos

• ¿Realiza su empresa evaluaciones de riesgos cibernéticos de manera regular?

  • 10 puntos: Sí, realizamos evaluaciones de riesgos periódicas y detalladas.
  • 5 puntos: Sí, pero no siempre son exhaustivas o frecuentes.
  • 2 puntos: Realizamos evaluaciones esporádicas sin un cronograma definido.
  • 0 puntos: No, no realizamos evaluaciones de riesgos cibernéticos.

III. Clasificación de datos

• ¿Tiene su organización un sistema de clasificación de datos basado en sensibilidad y criticidad?

  • 10 puntos: Sí, con clasificación detallada y políticas específicas de manejo.
  • 5 puntos: Sí, pero la clasificación no es exhaustiva.
  • 2 puntos: Clasificación básica sin políticas específicas.
  • 0 puntos: No contamos con un sistema de clasificación de datos.

IV. Mapeo de interdependencias

• ¿Identifica y mapea su organización las interdependencias entre activos críticos?

  • 10 puntos: Sí, con mapas detallados y análisis de interdependencias.
  • 5 puntos: Sí, pero el mapeo no es exhaustivo.
  • 2 puntos: Identificación básica sin mapeo detallado.
  • 0 puntos: No realizamos identificación de interdependencias.

Conozca su puntaje en Identificación

• 31-40 puntos: Nivel de Identificación Óptimo
• 21-30 puntos: Nivel de Identificación Adecuado
• 11-20  puntos: Nivel de Identificación Básico
• Menos de 10 puntos: Nivel de Identificación Crítico

3. Proteger

I. Control de acceso

• ¿Cómo gestiona su empresa el control de acceso a sistemas y datos?

  • 10 puntos: Implementamos controles de acceso estrictos y revisiones periódicas.
  • 5 puntos: Tenemos controles de acceso, pero sin revisiones regulares.
  • 2 puntos: Controles básicos sin formalidad en las revisiones.
  • 0 puntos: No gestionamos formalmente el control de acceso.

II. Protección de datos

• ¿Qué medidas tiene su empresa para proteger datos sensibles?

• 10 puntos: Utilizamos cifrado, backups regulares y otras medidas avanzadas.
• 5 puntos: Tenemos algunas medidas de protección, pero no completas.
• 2 puntos: Solo implementamos medidas básicas de protección.
• 0 puntos: No contamos con medidas de protección de datos sensibles.

III. Gestión de identidades

• ¿Cómo gestiona su organización las identidades y los accesos?

  • 10 puntos: Uso de autenticación multifactor y gestión centralizada de identidades.
  • 5 puntos: Autenticación básica con contraseñas fuertes.
  • 2 puntos: Contraseñas sin medidas adicionales de seguridad.
  • 0 puntos: No tenemos un sistema formal de gestión de identidades.

IV. Seguridad de la red

• ¿Qué medidas de seguridad de red tiene implementadas su empresa?

  • 10 puntos: Uso de firewalls, IDS/IPS y segmentación de red.
  • 5 puntos: Uso de firewalls y monitoreo básico de tráfico.
  • 2 puntos: Solo firewalls sin monitoreo adicional.
  • 0 puntos: No tenemos medidas de seguridad de red implementadas.

Conozca su puntaje en Protección

• 31-40 puntos: Nivel de Protección Óptimo
• 21-30 puntos: Nivel de Protección Adecuado
• 11-20  puntos: Nivel de Protección Básico
• Menos de 10 puntos: Nivel de Protección Crítico

4. Detectar

I. Monitorización continua

• ¿Cuenta su empresa con sistemas de monitorización continua para detectar amenazas?

  • 10 puntos: Sí, con sistemas avanzados y revisiones continuas.
  • 5 puntos: Sí, pero la monitorización no es constante.
  • 2 puntos: Monitorización básica sin continuidad.
  • 0 puntos: No contamos con sistemas de monitorización continua.

II. Análisis de eventos

• ¿Cómo maneja su organización el análisis de eventos de seguridad?

  • 10 puntos: Contamos con procesos estructurados y personal dedicado.
  • 5 puntos: Realizamos análisis de eventos, pero sin estructura formal.
  • 2 puntos: Análisis esporádicos y no estructurados.
  • 0 puntos: No realizamos análisis de eventos de seguridad.

III. Inteligencia de amenazas

• ¿Utiliza su organización inteligencia de amenazas para identificar riesgos potenciales?

  • 10 puntos: Sí, con integración en sistemas de seguridad y análisis regular.
  • 5 puntos: Utilizamos inteligencia de amenazas, pero sin integración formal.
  • 2 puntos: Información de amenazas de fuentes abiertas sin análisis formal.
  • 0 puntos: No utilizamos inteligencia de amenazas.

IV. Alertas y notificaciones

• ¿Cómo gestiona su empresa las alertas y notificaciones de seguridad?

  • 10 puntos: Sistema de alertas automatizado y revisiones en tiempo real.
  • 5 puntos: Sistema de alertas, pero con revisiones periódicas.
  • 2 puntos: Alertas básicas sin revisión continua.
  • 0 puntos: No tenemos sistema de alertas y notificaciones.

5. Responder

I. Plan de respuesta a incidentes

• ¿Tiene su empresa un plan de respuesta a incidentes documentado y probado?

  • 10 puntos: Sí, documentado y probado regularmente.
  • 5 puntos: Documentado pero no probado con frecuencia.
  • 2 puntos: Tenemos un plan no documentado formalmente.
  • 0 puntos: No contamos con un plan de respuesta a incidentes.

II. Comunicación durante incidentes

• ¿Cómo gestiona su empresa la comunicación durante incidentes de Ciberseguridad?

  • 10 puntos: Tenemos protocolos claros y definidos.
  • 5 puntos: Comunicamos, pero sin protocolos establecidos.
  • 2 puntos: Comunicaciones ad-hoc sin formalidad.
  • 0 puntos: No tenemos protocolos de comunicación.

III. Coordinación con equipos externos

• ¿Colabora su organización con equipos externos (como CERTs) durante incidentes?

  • 10 puntos: Sí, con coordinación y colaboración regular.
  • 5 puntos: Colaboramos cuando es necesario, pero sin planificación formal.
  • 2 puntos: Colaboración mínima sin protocolos definidos.
  • 0 puntos: No colaboramos con equipos externos.

IV. Evaluación post-incidente

• ¿Realiza su empresa evaluaciones post-incidente para mejorar la respuesta futura?

  • 10 puntos: Sí, con evaluaciones detalladas y actualizaciones a políticas.
  • 5 puntos: Realizamos evaluaciones, pero sin detalle exhaustivo.
  • 2 puntos: Evaluaciones básicas sin cambios significativos.
  • 0 puntos: No realizamos evaluaciones post-incidente.

Conozca su puntaje de Respuestas 

• 31-40 puntos: Nivel de Respuesta Óptimo
• 21-30 puntos: Nivel de Respuesta Adecuado
• 11-20  puntos: Nivel de Respuesta Básico
• Menos de 10 puntos: Nivel de Respuesta Crítico

6. Recuperar

I. Plan de recuperación

• ¿Dispone su empresa de un plan de recuperación tras incidentes cibernéticos?

  • 10 puntos: Sí, y se actualiza y prueba regularmente.
  • 5 puntos: Sí, pero sin pruebas regulares.
  • 2 puntos: Plan básico sin formalidad en pruebas.
  • 0 puntos: No tenemos un plan de recuperación.

II. Lecciones aprendidas

• ¿Revisa y documenta su organización las lecciones aprendidas después de un incidente?

  • 10 puntos: Sí, con revisiones detalladas y actualizaciones a políticas.
  • 5 puntos: Documentamos lecciones, pero sin revisiones exhaustivas.
  • 2 puntos: Revisión superficial sin documentación formal.
  • 0 puntos: No realizamos revisiones post-incidente.

III. Comunicación post-incidente

• ¿Cómo maneja su empresa la comunicación post-incidente con stakeholders?

  • 10 puntos: Comunicación clara y regular con todas las partes interesadas.
  • 5 puntos: Comunicación ocasional sin regularidad.
  • 2 puntos: Comunicación básica y no estructurada.
  • 0 puntos: No tenemos un protocolo de comunicación post-incidente.

IV. Medidas de mejora

• ¿Implementa su organización mejoras basadas en las lecciones aprendidas tras un incidente?

  • 10 puntos: Sí, con implementación y seguimiento regular.
  • 5 puntos: Implementamos algunas mejoras, pero sin seguimiento formal.
  • 2 puntos: Mejoras mínimas sin seguimiento.
  • 0 puntos: No implementamos mejoras tras incidentes.

Conozca su puntaje de Recuperación

• 31-40 puntos: Nivel de Recuperación Óptimo
• 21-30 puntos: Nivel de Recuperación Adecuado
• 11-20  puntos: Nivel de   Básico
• Menos de 10 puntos: Nivel de Recuperación Crítico

Conclusión: eleve su nivel de Ciberseguridad 

En ne Digital, entendemos la importancia crítica de la Ciberseguridad en la protección de su empresa contra amenazas cada vez más sofisticadas. 

Reducir vulnerabilidades es clave en una época de constante amenazas cibernéticas y ciberataques, como phishing, ransomware, robo de datos personales y otras acciones de ciberdelincuentes en contra de la seguridad de información.

A través de estas evaluaciones estructuradas en las áreas de Gobernanza, Identificación, Protección, Detección, Respuesta y Recuperación, hemos proporcionado las herramientas necesarias para identificar fortalezas, puntos débiles y áreas de mejora, para así determinar su nivel de seguridad actual. 

Al conocer su puntaje en cada función, podrá tomar decisiones informadas para fortalecer su estrategia de Ciberseguridad. 

¿Requiere una evaluación más exhaustiva? ¿Necesita ayuda para corregir fallas y brechas identificadas? Nuestros expertos le ayudarán con gusto.

Le invitamos a comunicarse con ne Digital para recibir asesoría personalizada y definir la hoja de ruta hacia la consolidación de sus procesos de Ciberseguridad.