Los dispositivos y sistemas físicos dentro de la organización están inventariados.

Calificación: 4

Justificación: El texto proporciona evidencia de que los dispositivos y sistemas

físicos de la organización están inventariados. Se menciona que "Los activos de la
institución están debidamente inventariados y etiquetados" y que el ERP permite el
registro de esta información.

Las plataformas de software y las aplicaciones dentro de la organización están

inventariadas.

Calificación: 4

Justificación: El texto proporciona evidencia de que las plataformas de software y

las aplicaciones de la organización están inventariadas. Se menciona que "Todo el
software pago o comercial cuenta con el debido licenciamiento y se cuenta con un
inventario de hardware y software que incluye el manejo de las licencias."

La comunicación organizacional y los flujos de datos están mapeados.

Calificación: 2

Justificación: El texto no proporciona evidencia explícita de que la comunicación

organizacional y los flujos de datos estén mapeados, pero se mencionan elementos
relacionados con la redundancia de la red de datos y la utilización de VLANs para la
segmentación de dominios de broadcast, lo que sugiere un cierto grado de mapeo
de la comunicación.

Los sistemas de información externos están catalogados.

Calificación: 3

Justificación: El texto no proporciona evidencia explícita de que los sistemas de

información externos estén catalogados, pero se menciona que se utiliza un
servidor proxy para la navegación en Internet y que se controla el acceso a ciertas
categorías de páginas web, lo que indica una cierta catalogación o control de
sistemas externos.
Los recursos (por ejemplo, hardware, dispositivos, datos, tiempo, personal y
software) se priorizan en función de su clasificación, criticidad y valor comercial.

Calificación: 2

Justificación: El texto no proporciona evidencia de que los recursos se prioricen en

función de su clasificación, criticidad y valor comercial. Aunque se mencionan
detalles sobre la infraestructura de seguridad, no se menciona específicamente la
priorización de recursos.

Los roles y las responsabilidades de la seguridad cibernética para toda la fuerza de

trabajo y terceros interesados (por ejemplo, proveedores, clientes, socios) están
establecidas.

Calificación: 4

Justificación: El texto menciona que se tiene un área de seguridad de la

información con un ingeniero jefe y dos analistas, y que se realizan campañas de
capacitación y desarrollo de políticas de seguridad en colaboración con la oficina
jurídica. Esto sugiere que los roles y responsabilidades de la seguridad cibernética
están establecidos.

Se identifica y se comunica la función de la organización en la cadena de

suministro.

Calificación: 2

Justificación: El texto no proporciona evidencia explícita de que se identifique y

comunique la función de la organización en la cadena de suministro, pero se
menciona que se realizan campañas de capacitación utilizando cursos virtuales
desarrollados en la empresa o comprados a universidades de la ciudad de
Barranquilla, lo que puede estar relacionado con la cadena de suministro.

Se identifica y se comunica el lugar de la organización en la infraestructura crítica y

su sector industrial.
Calificación: 2

Justificación: El texto no proporciona evidencia de que se identifique y comunique

el lugar de la organización en la infraestructura crítica y su sector industrial. No se
mencionan detalles específicos sobre su ubicación en la infraestructura crítica.

Se establecen y se comunican las prioridades para la misión, los objetivos y las

actividades de la organización.

Calificación: 3

Justificación: Aunque el texto menciona que se realizan campañas de capacitación

y desarrollo de políticas de seguridad, no se proporciona evidencia explícita de que
se establezcan y comuniquen las prioridades para la misión, los objetivos y las
actividades de la organización.

Se establecen las dependencias y funciones fundamentales para la entrega de

servicios críticos.

Calificación: 3

Justificación: El texto no proporciona evidencia explícita de que se establezcan las

dependencias y funciones fundamentales para la entrega de servicios críticos, pero
se mencionan detalles sobre redundancia en la red de datos y el uso de VLANs, lo
que sugiere una cierta consideración de la continuidad de servicios críticos.

Los requisitos de resiliencia para respaldar la entrega de servicios críticos se

establecen para todos los estados operativos (p. ej. bajo coacción o ataque,
durante la recuperación y operaciones normales).

Calificación: 3

Justificación: El texto no proporciona evidencia explícita de que se establezcan

requisitos de resiliencia para respaldar la entrega de servicios críticos en todos los
estados operativos. Aunque se menciona la redundancia en algunos sistemas, no se
abordan explícitamente todos los estados operativos.
//////////////////////////////////////////////////////////////////////////////////////////////

Para calificar las preguntas en función del texto proporcionado, tendremos en

cuenta el grado de cumplimiento y las evidencias descritas en el texto.

GESTION DE ACTIVOS:

Los dispositivos y sistemas físicos dentro de la organización están inventariados. - 4

Justificación: El texto proporciona evidencia de que los dispositivos físicos de la

organización están inventariados.

Las plataformas de software y las aplicaciones dentro de la organización están

inventariadas. - 4

Justificación: El texto menciona que las bases de datos y los servidores están
inventariados.

La comunicación organizacional y los flujos de datos están mapeados. - 3

Justificación: Aunque el texto no menciona explícitamente el mapeo de flujos de

datos, describe cómo se utilizan VLANs para segmentar la red de datos y se
mencionan redundancias en la red.

Los sistemas de información externos están catalogados. - 3

Justificación: Aunque no se menciona explícitamente la catalogación de sistemas

externos, se describe cómo se establecen prioridades y roles para la entrega de
servicios críticos, lo que implica un nivel de catalogación.

Los recursos se priorizan en función de su clasificación, criticidad y valor comercial.

-3
Justificación: Se menciona que los recursos se establecen en función de las
prioridades y de los requisitos de resiliencia, lo que implica una forma de
priorización.

Los roles y las responsabilidades de la seguridad cibernética para toda la fuerza de

trabajo y terceros interesados están establecidos. - 3

Justificación: El texto menciona que los roles y las responsabilidades en seguridad

cibernética están coordinados y alineados.

ENTORNO EMPRESARIAL:

Se identifica y se comunica la función de la organización en la cadena de

suministro. - 3

Justificación: El texto no se centra en la cadena de suministro, pero menciona la

identificación de la función de la organización en la infraestructura crítica.

Se identifica y se comunica el lugar de la organización en la infraestructura crítica y

su sector industrial. - 3

Justificación: El texto menciona la importancia de la organización en la

infraestructura crítica y se refiere a su sector industrial.

Se establecen y se comunican las prioridades para la misión, los objetivos y las

actividades de la organización. - 4

Justificación: El texto menciona que se establecen prioridades para la misión y los

objetivos de la organización.

Se establecen las dependencias y funciones fundamentales para la entrega de

servicios críticos. - 4
Justificación: El texto menciona la importancia de establecer dependencias y
funciones fundamentales para la entrega de servicios críticos.

Los requisitos de resiliencia para respaldar la entrega de servicios críticos se

establecen para todos los estados operativos. - 4

Justificación: El texto menciona que se establecen requisitos de resiliencia para

respaldar la entrega de servicios críticos.

GOBERNANZA:

Se establece y se comunica la política de seguridad cibernética organizacional. - 4

Justificación: El texto menciona la existencia de una política de seguridad

cibernética organizacional.

Los roles y las responsabilidades de seguridad cibernética están coordinados y

alineados con roles internos y socios externos. - 4

Justificación: El texto menciona que los roles y las responsabilidades en seguridad

cibernética están coordinados.

Se comprenden y se gestionan los requisitos legales y regulatorios con respecto a

la seguridad cibernética. - 3

Justificación: El texto menciona la comprensión y gestión de requisitos legales y

regulatorios, pero no se detalla.

Los procesos de gobernanza y gestión de riesgos abordan los riesgos de seguridad

cibernética. - 4

Justificación: El texto menciona que se abordan los riesgos de seguridad

cibernética en los procesos de gobernanza y gestión de riesgos.

EVALUACION DE RIESGOS:
Se identifican y se documentan las vulnerabilidades de los activos. - 4

Justificación: El texto menciona la identificación y documentación de

vulnerabilidades.

La inteligencia de amenazas cibernéticas se recibe de foros y fuentes de

intercambio de información. - 4

Justificación: El texto menciona la recepción de inteligencia de amenazas

cibernéticas.

Se identifican y se documentan las amenazas, tanto internas como externas. - 4

Justificación: El texto menciona la identificación y documentación de amenazas

internas y externas.

Se identifican los impactos y las probabilidades del negocio. - 3

Justificación: El texto menciona que se identifican impactos y probabilidades, pero

no se proporcionan detalles específicos.

Se utilizan las amenazas, las vulnerabilidades, las probabilidades y los impactos

para determinar el riesgo. - 3

Justificación: Aunque se mencionan amenazas, vulnerabilidades, probabilidades y

impactos, el texto no describe explícitamente su uso para determinar el riesgo.

Se identifican y priorizan las respuestas al riesgo. - 3

Justificación: El texto menciona la identificación de respuestas al riesgo, pero no

proporciona detalles de priorización.
 /////////////////////////////////////////////////////////////////////////////////////

GESTION DE ACTIVOS:

1. Los dispositivos y sistemas físicos dentro de la organización están inventariados. -

Calificación: 4 (Está claro que se lleva un inventario de dispositivos y sistemas
físicos).
2. Las plataformas de software y las aplicaciones dentro de la organización están
inventariadas. - Calificación: 4 (También se menciona que se realiza un inventario
de software y aplicaciones).
3. La comunicación organizacional y los flujos de datos están mapeados. -
Calificación: 2 (No se proporciona información específica sobre el mapeo de la
comunicación organizacional y flujos de datos).
4. Los sistemas de información externos están catalogados. - Calificación: 3 (Se
menciona que los sistemas de información externos se catalogan, pero la
información es un poco menos detallada que en otras áreas).
5. Los recursos (por ejemplo, hardware, dispositivos, datos, tiempo, personal y
software) se priorizan en función de su clasificación, criticidad y valor comercial. -
Calificación: 1 (No se proporciona evidencia de que se prioricen los recursos
según su clasificación, criticidad y valor comercial).
6. Los roles y las responsabilidades de la seguridad cibernética para toda la fuerza de
trabajo y terceros interesados (por ejemplo, proveedores, clientes, socios) están
establecidos. - Calificación: 4 (Se menciona que se establecen roles y
responsabilidades en seguridad cibernética).

ENTORNO EMPRESARIAL:

1. Se identifica y se comunica la función de la organización en la cadena de

suministro. - Calificación: 2 (Se menciona que se identifica la función de la
organización en la cadena de suministro, pero no se proporciona mucha
información detallada).
2. Se identifica y se comunica el lugar de la organización en la infraestructura crítica y
su sector industrial. - Calificación: 2 (Se menciona que se identifica el lugar de la
organización en la infraestructura crítica, pero la información es un poco limitada).
3. Se establecen y se comunican las prioridades para la misión, los objetivos y las
actividades de la organización. - Calificación: 3 (Se menciona que se establecen
prioridades para la misión, los objetivos y las actividades de la organización).
4. Se establecen las dependencias y funciones fundamentales para la entrega de
servicios críticos. - Calificación: 4 (Se menciona que se establecen dependencias y
funciones fundamentales para la entrega de servicios críticos).
5. Los requisitos de resiliencia para respaldar la entrega de servicios críticos se
establecen para todos los estados operativos (p. ej. bajo coacción o ataque,
durante la recuperación y operaciones normales). - Calificación: 4 (Se menciona
que se establecen requisitos de resiliencia para respaldar la entrega de servicios
críticos en diferentes estados operativos).

GOBERNANZA:

1. Se establece y se comunica la política de seguridad cibernética organizacional. -

Calificación: 4 (Se menciona que se establece y comunica la política de seguridad
cibernética organizacional).
2. Los roles y las responsabilidades de seguridad cibernética están coordinados y
alineados con roles internos y socios externos. - Calificación: 3 (Se menciona que
los roles y responsabilidades de seguridad cibernética están coordinados y
alineados, pero no se proporciona mucha información detallada).
3. Se comprenden y se gestionan los requisitos legales y regulatorios con respecto a
la seguridad cibernética, incluidas las obligaciones de privacidad y libertades civiles.
- Calificación: 4 (Se menciona que se comprenden y gestionan los requisitos
legales y regulatorios).
4. Los procesos de gobernanza y gestión de riesgos abordan los riesgos de seguridad
cibernética. - Calificación: 4 (Se menciona que los procesos de gobernanza y
gestión de riesgos abordan los riesgos de seguridad cibernética).