Kudo

Cuestionarios

Cuestionarios de autoevaluación para medir la madurez en Ciberseguridad basado en Kudo

Cuestionarios de Autoevaluación

Objetivo

Buscamos constantemente que nuestros cuestionarios sea más un ejercicio mayéutico, por eso dejamos claro:

  • No es un examen de pasar.
  • La Ciberseguridad no es binaria, ni blanco y negro; es mejora continua.
  • Para cada cuestionamiento es necesario que se valide con el apetito de riesgo, el tamaño, la estrategia y el momento de negocio de la compañía.

Cómo Utilizar

Los cuestionarios están en desarrollo y próximamente estarán disponibles para:

  • En cualquier momento.
  • Si solo lo quieres pasar sin la realidad del negocio, te estas engañando a ti.
  • Integración con herramientas de gestión
  • Generación automática de reportes

Cuestionarios

Metodología

Cuestionario y ámbitos de gestión

En cada cuestionamiento es importante pensar en tres escenarios, asociados a los ámbitos de gestión del framework cada uno tiene un cuestionario, y al final hay uno que abarca todo, realice el que aplique en cada escenario o ve por el camino completo.

Niveles de cuestionamiento

Cada cuestionario utiliza una escala de madurez de 4 niveles:

  • Nivel 0: El requisito no existe o no se ha considerado.
  • Nivel 1: Existe de forma reactiva o informal.
  • Nivel 2: Está documentado y se aplica de forma consistente.
  • Nivel 3: Está estandarizado en toda la organización.
  • Nivel 4: Se mide mediante métricas e indicadores y se gestiona con evidencia.
  • Nivel 5: Se optimiza continuamente mediante análisis, automatización y retroalimentación.

Cálculo del nivel de madurez

La referencia representa el nivel de madurez en Ciberseguridad obtenido tanto para cada requisito evaluado como para el cuestionario completo.

Escala por pregunta

Cada pregunta se califica en una escala de 0 a 5, donde cada punto representa un incremento del 20% del nivel máximo de madurez.

PuntuaciónCumplimientoNivel de madurez
5100%Optimizado. El requisito se mejora continuamente mediante métricas, automatización y retroalimentación.
480%Gestionado. El requisito se mide mediante indicadores y existe evidencia de su gestión.
360%Estandarizado. El requisito está definido y se aplica de forma uniforme en la organización.
240%Documentado. El requisito está documentado y se aplica de forma consistente.
120%Inicial. El requisito existe de manera reactiva o informal.
00%No implementado. El requisito no existe o no ha sido considerado.

Interpretación del cuestionario

El nivel de madurez del cuestionario se calcula mediante la siguiente fórmula:

M=i=1npi5n×100M=\frac{\sum_{i=1}^{n}p_i}{5n}\times100

Donde:

  • pi\sum p_i corresponde a la sumatoria de los puntos obtenidos en todas las preguntas.
  • 5n5n corresponde al máximo de puntos posibles, siendo 55 la puntuación máxima por pregunta y nn el número total de preguntas.

Ejemplo

Para un cuestionario de 20 preguntas:

  • Puntos máximos posibles: 5×20=1005 \times 20 = 100
  • Puntos obtenidos: 8383

Entonces:

M=83100×100=83%M=\frac{83}{100}\times100=83\%

El resultado indica que el cuestionario alcanza un 83% de madurez, equivalente a un nivel Gestionado, ya que la mayoría de los requisitos cuentan con métricas, evidencia y mecanismos de seguimiento, aunque todavía existen oportunidades de optimización continua.

Rangos de madurez del cuestionario

Una vez calculado el porcentaje de cumplimiento mediante la fórmula de nivel de madurez, el resultado se interpreta de acuerdo con los siguientes rangos:

CumplimientoNivel de madurezDescripción
100%Nivel 5 – Co-creación de CiberseguridadLa ciberseguridad forma parte de la estrategia y de la toma de decisiones del negocio. Existe mejora continua, automatización, métricas y una cultura de colaboración entre las áreas. El apetito de riesgo está claramente definido, es monitoreado continuamente y las decisiones de negocio consideran el impacto sobre el riesgo cibernético como un factor estratégico.
80% – 99%Nivel 4 – EstratégicoLa ciberseguridad se gestiona como un habilitador del negocio. Los controles son medidos y existe evidencia de su eficacia. El apetito de riesgo se utiliza para priorizar inversiones, definir excepciones y respaldar decisiones estratégicas de manera informada.
60% – 79%Nivel 3 – TácticoLos procesos de ciberseguridad están definidos, documentados y estandarizados. La gestión del riesgo es consistente y las decisiones tácticas consideran el apetito de riesgo, aunque su aplicación aún no es uniforme en toda la organización.
40% – 59%Nivel 2 – OperacionalExisten procesos y controles documentados que se ejecutan de forma consistente, aunque con oportunidades de fortalecimiento. El apetito de riesgo comienza a utilizarse como referencia para la operación, pero las decisiones aún son mayoritariamente reactivas.
20% – 39%Nivel 1 – BásicoLa organización cuenta con prácticas iniciales de ciberseguridad implementadas de forma reactiva o informal. El apetito de riesgo no se encuentra formalizado o es poco conocido, por lo que las decisiones de negocio suelen tomarse con información limitada sobre el riesgo cibernético.
0% – 19%Nivel 0 – CríticoLa organización presenta un nivel de madurez crítico. Los procesos y controles de ciberseguridad son inexistentes o insuficientes para gestionar adecuadamente los riesgos. No existe un apetito de riesgo definido y las decisiones de negocio se toman sin considerar de forma estructurada la exposición al riesgo cibernético.

Cuestionarios en roadmap

En roadmap

Cuestionario Ámbito Interno (Corporativo)

Cuestionario aplicable para el ámbito Interno (Corporativo).

Cuestionario Ámbito de Terceros

Cuestionario aplicable para el ámbito de Terceros (Proveedores y Partners).

Cuestionario Ámbito Externo (Clientes)

Cuestionario aplicable para el ámbito Externo (Clientes).

On this page