.

NIST CSF 2.0

Dear Sir or Madam, please take a few minutes of your time to complete the following questionnaire.

Secured
Survio
Create a survey
Recuperar - Comunicación de la recuperación del incidente
1

Se comprende la misión de la organización y se informa sobre la gestión de riesgos de ciberseguridad

Se comprenden las circunstancias - misión, expectativas de las partes interesadas, dependencias y requisitos legales, normativos y contractuales - que afectan a las decisiones de gestión de riesgos de ciberseguridad de la organización
2

Las partes interesadas internas y externas son comprendidas, y sus necesidades y expectativas con respecto a la gestión de riesgos de ciberseguridad son comprendidas y consideradas

Se comprenden las circunstancias - misión, expectativas de las partes interesadas, dependencias y requisitos legales, normativos y contractuales - que afectan a las decisiones de gestión de riesgos de ciberseguridad de la organización
3

Se comprenden y gestionan los requisitos legales, normativos y contractuales relativos a la ciberseguridad, incluidas las obligaciones en materia de privacidad y libertades civiles

Se comprenden las circunstancias - misión, expectativas de las partes interesadas, dependencias y requisitos legales, normativos y contractuales - que afectan a las decisiones de gestión de riesgos de ciberseguridad de la organización
4

Se comprenden y comunican los objetivos, las capacidades y los servicios críticos de los que dependen las partes interesadas externas o que esperan de la organización

Se comprenden las circunstancias - misión, expectativas de las partes interesadas, dependencias y requisitos legales, normativos y contractuales - que afectan a las decisiones de gestión de riesgos de ciberseguridad de la organización
5

Se comprenden y comunican los resultados, capacidades y servicios de los que depende la organización

Se comprenden las circunstancias - misión, expectativas de las partes interesadas, dependencias y requisitos legales, normativos y contractuales - que afectan a las decisiones de gestión de riesgos de ciberseguridad de la organización
Create a survey
Recuperar - Comunicación de la recuperación del incidente
6

Los objetivos de la gestión de riesgos son establecidos y acordados por las partes interesadas de la organización

Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo
7

Se establecen, se comunican y se mantienen las declaraciones sobre el apetito de riesgo y la tolerancia al riesgo

Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo
8

Las actividades y los resultados de la gestión de riesgos de Ciberseguridad se incluyen en los procesos de gestión de riesgos de la empresa

Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo
9

Se establece y comunica una dirección estratégica que describa las opciones adecuadas de respuesta al riesgo

Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo
10

Se establecen líneas de comunicación en toda la organización para los riesgos de ciberseguridad, lo que incluye a los riesgos de proveedores y otros terceros

Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo
11

Se establece y comunica un método estandarizado para calcular, documentar, categorizar y priorizar los riesgos de ciberseguridad

Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo
12

Se caracterizan las oportunidades estratégicas (es decir, los riesgos positivos) y se incluyen en las discusiones sobre riesgos de ciberseguridad de la organización

Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo
Create a survey
Recuperar - Comunicación de la recuperación del incidente
13

El liderazgo organizativo es responsable de los riesgos de ciberseguridad y fomenta una cultura consciente de los riesgos, ética y de mejora continua

Se establecen y comunican las funciones, las responsabilidades y las competencias en materia de ciberseguridad para fomentar la rendición de cuentas, la evaluación del desempeño y la mejora continua
14

Se establecen, comunican, comprenden y aplican las funciones, responsabilidades y autoridades relacionadas con la gestión de riesgos de ciberseguridad.

Se establecen y comunican las funciones, las responsabilidades y las competencias en materia de ciberseguridad para fomentar la rendición de cuentas, la evaluación del desempeño y la mejora continua
15

Se asignan recursos adecuados de acuerdo con la estrategia de riesgos de ciberseguridad, las funciones, las responsabilidades y las políticas

Se establecen y comunican las funciones, las responsabilidades y las competencias en materia de ciberseguridad para fomentar la rendición de cuentas, la evaluación del desempeño y la mejora continua
16

La ciberseguridad se incluye en las prácticas de recursos humanos

Se establecen y comunican las funciones, las responsabilidades y las competencias en materia de ciberseguridad para fomentar la rendición de cuentas, la evaluación del desempeño y la mejora continua
Create a survey
Recuperar - Comunicación de la recuperación del incidente
17

La política de gestión de riesgos de ciberseguridad se establece en base al contexto organizativo, la estrategia de ciberseguridad y las prioridades, y es comunicada y aplicada

La política de ciberseguridad de la organización es establecida, comunicada y aplicada
18

La política de gestión de riesgos de ciberseguridad se revisa, actualiza, comunica y aplica para reflejar los cambios en los requisitos, las amenazas, la tecnología y la misión de la organización

La política de ciberseguridad de la organización es establecida, comunicada y aplicada
Create a survey
Recuperar - Comunicación de la recuperación del incidente
19

Los resultados de la estrategia de gestión de riesgos de ciberseguridad se revisan para informar y ajustar la estrategia y la dirección

Los resultados de las actividades de gestión de riesgos de ciberseguridad en toda la organización y el rendimiento se utilizan para informar, mejorar y ajustar la estrategia de gestión de riesgos
20

La estrategia de gestión de riesgos de ciberseguridad se revisa y ajusta para garantizar la cobertura de los requisitos y riesgos de la organización

Los resultados de las actividades de gestión de riesgos de ciberseguridad en toda la organización y el rendimiento se utilizan para informar, mejorar y ajustar la estrategia de gestión de riesgos
21

El rendimiento de la gestión de riesgos de ciberseguridad de la organización se evalúa y revisa para realizar los ajustes necesarios

Los resultados de las actividades de gestión de riesgos de ciberseguridad en toda la organización y el rendimiento se utilizan para informar, mejorar y ajustar la estrategia de gestión de riesgos
Create a survey
Recuperar - Comunicación de la recuperación del incidente
22

Las partes interesadas de la organización establecen y acuerdan un programa, estrategia, objetivos, políticas y procesos de gestión de riesgos de ciberseguridad en la cadena de suministro

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
23

Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades de ciberseguridad para proveedores, clientes y colaboradores

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
24

La gestión de riesgos de la cadena de suministro de ciberseguridad está integrada en la ciberseguridad y la gestión de riesgos empresariales, la evaluación de riesgos y los procesos de mejora

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
25

Los proveedores son conocidos y priorizados por criticidad

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
26

Los requisitos para abordar los riesgos de ciberseguridad en las cadenas de suministro se establecen, priorizan e integran en contratos y otros tipos de acuerdos con proveedores y otras terceras partes pertinentes

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
27

Se llevan a cabo la planificación y la diligencia debida para reducir los riesgos antes de entablar relaciones formales con proveedores u otros terceros

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
28

Los riesgos planteados por un proveedor, sus productos y servicios y otros terceros se comprenden, registran, priorizan, evalúan, responden y monitorean a lo largo de la relación

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
29

Los proveedores pertinentes y otros terceros se incluyen en las actividades de planificación, respuesta y recuperación de incidentes

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
30

Las prácticas de seguridad de la cadena de suministro se integran en los programas de ciberseguridad y de gestión de riesgos empresariales, y su rendimiento se monitorea a lo largo del ciclo de vida de los productos y servicios tecnológicos

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
31

Los planes de gestión de riesgos de la cadena de suministro de ciberseguridad incluyen disposiciones para las actividades que ocurren después de la conclusión de un acuerdo de colaboración o servicio

Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro cibernética
Create a survey
Recuperar - Comunicación de la recuperación del incidente
32

Se mantienen inventarios del hardware gestionado por la organización

Los activos (p. ej., datos, hardware, software, sistemas, instalaciones, servicios, personas) que permiten a la organización alcanzar sus objetivos empresariales se identifican y gestionan de acuerdo con su importancia relativa para los objetivos organizativos y la estrategia de riesgos de la organización
33

Se mantienen inventarios de software, servicios y sistemas gestionados por la organización

Select one answer
34

Se mantienen representaciones de la comunicación de red autorizada de la organización y de los flujos de datos de red internos y externos

Select one answer
35

Se mantienen inventarios de los servicios prestados por los proveedores

Select one answer
36

Se priorizan los activos en función de su clasificación, criticidad, recursos e impacto en la misión

Select one answer
37

Se mantienen inventarios de datos y los metadatos correspondientes para los tipos de datos designados

Select one answer
38

Los sistemas, el hardware, el software, los servicios y los datos se gestionan durante todo su ciclo de vida

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
39

Se identifican, validan y registran las vulnerabilidades de los activos

Select one answer
40

Se recibe información sobre amenazas cibernéticas de foros y fuentes de intercambio de información

Select one answer
41

Se identifican y registran las amenazas internas y externas a la organización

Select one answer
42

Se identifican y registran los impactos potenciales y las probabilidades de quelas amenazas exploten las vulnerabilidades

Select one answer
43

Las amenazas, las vulnerabilidades, las probabilidades y los impactos se utilizan para comprender el riesgo inherente e informar sobre la priorización de la respuesta al riesgo

Select one answer
44

Se eligen, priorizan, planifican, controlan y comunican las respuestas al riesgo

Select one answer
45

Se gestionan los cambios y las excepciones, se evalúa su impacto en el riesgo, se registran y se realiza su seguimiento

Select one answer
46

Se establecen procesos para recibir, analizar y responder a las divulgaciones de vulnerabilidades

Select one answer
47

Se evalúa la autenticidad e integridad del hardware y software antes de su adquisición y uso

Select one answer
48

Se evalúan los proveedores críticos antes de su adquisición

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
49

Las mejoras se identifican a partir de evaluaciones

Se identifican mejoras en los procesos, procedimientos y actividades de gestión de riesgos de ciberseguridad de la organización en todas las funciones del CSF
50

Las mejoras se identifican a partir de pruebas y ejercicios de seguridad, lo que incluye a los realizados en coordinación con proveedores y terceros pertinentes

Select one answer
51

Las mejoras se identifican a partir de la ejecución de procesos, procedimientos y actividades operativos

Select one answer
52

Se establecen, comunican, mantienen y mejoran los planes de respuesta a incidentes y otros planes de ciberseguridad que afectan a las operaciones

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
53

La organización gestiona las identidades y credenciales de los usuarios, servicios y equipos autorizados

Select one answer
54

Las identidades están comprobadas y vinculadas a credenciales basadas en el contexto de las interacciones

Select one answer
55

Los usuarios, servicios y hardware están autenticados

Select one answer
56

Las afirmaciones de identidad se protegen, transmiten y verifican

Select one answer
57

Los permisos de acceso, los derechos y las autorizaciones se definen en una política, se gestionan, se aplican y se revisan, e incorporan los principios de privilegio mínimo y separación de funciones

Select one answer
58

El acceso físico a los activos se gestiona, supervisa y aplica de forma proporcional al riesgo

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
59

Se sensibiliza y capacita al personal para que disponga de los conocimientos y habilidades necesarios para realizar tareas generales teniendo en cuenta los riesgos de ciberseguridad

Select one answer
60

Se sensibiliza y capacita a las personas que desempeñan funciones especializadas para que posean los conocimientos y aptitudes necesarios para realizarlas tareas pertinentes teniendo en cuenta los riesgos de ciberseguridad

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
61

La confidencialidad, la integridad y la disponibilidad de los datos en reposo están protegidas

Select one answer
62

La confidencialidad, la integridad y la disponibilidad de los datos en tránsito están protegidas

Select one answer
63

La confidencialidad, la integridad y la disponibilidad de los datos en uso están protegidas

Select one answer
64

Se crean, protegen, mantienen y comprueban copias de seguridad de los datos

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
65

Se establecen y aplican prácticas de gestión de la configuración

Select one answer
66

Se mantiene, sustituye y elimina el software en función del riesgo

Select one answer
67

Se mantiene, sustituye y elimina el hardware en función del riesgo

Select one answer
68

Se generen registros y se pongan a disposición para una supervisión continua

Select one answer
69

Se impide la instalación y la ejecución de software no autorizado

Select one answer
70

Se integran prácticas seguras de desarrollo de software y se supervisa su rendimiento durante todo el ciclo de vida de desarrollo del software

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
71

Las redes y los entornos están protegidos contra el acceso lógico y el uso no autorizados

Select one answer
72

Los activos tecnológicos de la organización están protegidos de las amenazas del entorno

Select one answer
73

Se implementan mecanismos para lograr los requisitos de resiliencia en situaciones normales y adversas

Select one answer
74

Se mantiene una capacidad de recursos adecuada para garantizar la disponibilidad

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
75

Las redes y los servicios de red se monitorean para detectar acontecimientos potencialmente adversos

Select one answer
76

Se monitorea el entorno físico para detectar posibles acontecimientos adversos

Select one answer
77

Se monitorea la actividad del personal y el uso de la tecnología para detectar posibles acontecimientos adversos

Select one answer
78

Se monitorean las actividades y los servicios de los proveedores de servicios externos para detectar acontecimientos potencialmente adversos.

Select one answer
79

Se monitorean el hardware y el software informáticos, los entornos de ejecución y sus datos para detectar posibles acontecimientos adversos

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
80

Los acontecimientos potencialmente adversos se analizan para comprender mejor las actividades asociadas

Select one answer
81

Se correlaciona la información procedente de diversas fuentes

Select one answer
82

Se comprende el impacto estimado y el alcance de los acontecimientos adversos

Select one answer
83

La información sobre acontecimientos adversos se proporciona al personal ya las herramientas autorizadas

Select one answer
84

La inteligencia sobre amenazas cibernéticas y otra información contextual se integran en el análisis

Select one answer
85

Se declaran incidentes cuando los acontecimientos adversos cumplen con los criterios de incidente definidos

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
86

Se ejecuta el plan de respuesta a incidentes en coordinación con los terceros pertinentes una vez que se declara un incidente

Select one answer
87

Se clasifican y validan los informes de incidentes

Select one answer
88

Se clasifican y priorizan los incidentes

Select one answer
89

Se escalan o elevan los incidentes según sea necesario

Select one answer
90

Se aplican los criterios para iniciar la recuperación de incidentes

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
91

Se realizan análisis para determinar lo que ocurrió durante un incidente y la causa raíz del mismo

Select one answer
92

Se registran las acciones realizadas durante una investigación y se preservan la integridad y la procedencia de los registros

Select one answer
93

Se recopilan los datos y metadatos del incidente y se preservan su integridad y su procedencia

Select one answer
94

Se estima y valida la magnitud de un incidente.

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
95

Se notifican los incidentes a las partes interesadas internas y externas

Select one answer
96

La información se comparte con las partes interesadas internas y externas designadas

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
97

Se contienen los incidentes

Select one answer
98

Se erradican los incidentes

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
99

La parte de recuperación del plan de respuesta a incidentes se ejecuta una vez que se inicia desde el proceso de respuesta a incidentes

Select one answer
100

Se seleccionan, delimitan, priorizan y llevan a cabo las acciones de recuperación

Select one answer
101

Se verifica la integridad de las copias de seguridad y otros activos de restauración antes de usarlos para la restauración

Select one answer
102

Se tienen en cuenta las funciones críticas de la misión y la gestión de riesgos de ciberseguridad para establecer normas operativas posteriores al incidente

Select one answer
103

Se verifica la integridad de los activos restaurados, se restauran los sistemas y servicios y se confirma el estado operativo normal

Select one answer
104

Se declara el fin de la recuperación del incidente sobre la base de criterios y se completa la documentación relacionada con el incidente

Select one answer
Create a survey
Recuperar - Comunicación de la recuperación del incidente
105

Las actividades de recuperación y los progresos en el restablecimiento de las capacidades operativas se comunican a las partes interesadas internas y externas designadas

Select one answer
106

Las actualizaciones públicas sobre la recuperación del incidente se comparten mediante el uso de métodos y mensajes aprobados

Select one answer
Create a survey