Convocatoria CSO20 Awards – México Survey

CIO México llevará a cabo la primera edición de los CSO20 Awards – México, donde reconocerá la labor incansable que los líderes responsables de la ciberseguridad y seguridad de la información realizan a diario para salvaguardar la información y garantizar la continuidad de las operaciones de sus organizaciones.

Agradecemos su interés por esta premiación, ya hemos recibido su registro. Como parte de continuar con su proceso de nominación, le pedimos contestar el siguiente cuestionario que puede responder en línea o bien, indicarnos si requiere agendar una cita con nuestro equipo editorial y responder mediante una reunión por zoom.

Los mejores proyectos serán calificados por el Consejo Editorial de CIO México quien será el encargado para elegir a Los 20 Mejores CSO de México los cuales serán galardonados en una ceremonia de premiación en el mes de Septiembre.

Seguiremos informando sobre cualquier avance de esta premiación.

Nota: Los datos que usted nos proporcione son confidenciales y sólo serán utilizados por CIO México con fines estadísticos. Por favor vea nuestro Aviso de privacidad

DATOS DEL PARTICIPANTE

1.Nombre(s):(Obligatorio).

2.Apellidos:(Obligatorio).

3.Empresa:(Obligatorio).

GESTIÓN DE LA CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN EN LA ORGANIZACIÓN.

4.¿Bajo qué marco de trabajo (framework) de seguridad está alineada la gestión de la ciberseguridad de su organización? Seleccione las que apliquen.(Obligatorio).

National Initiative for Cyber Security Education (NICE)

Cyber Security Body of Knowledge (CyBoK)

Cyber Security Education FrameworkJoint Task Force (JTF), consisting of ACM, IEEE, AIS SIGSEC and IFIP

CS4E D6.2

ENISA

CONCORDIA European Cyber Security Competence Framework and Map

MITRE ATT&CK: ISO 27001

Ninguna______

Otro (especifique)

7.¿Cómo controla el uso de dispositivos móviles? Seleccione las que apliquen.(Obligatorio).

No se controla

Se bloquean dispositivos no registrados de la red

Se requiere el uso de herramientas comerciales de seguridad móvil

A través de 'Sandboxes' virtuales para ejecutar aplicaciones

Por medio de tiendas de aplicaciones móviles dedicadas

Usando herramientas de administración de dispositivos móviles

Otro (especifique)

8.¿Qué tipo de datos almacena su empresa en servicios de almacenamiento o computación en la nube (incluya los datos que están respaldados)? Seleccione las que apliquen.(Obligatorio).

Información confidencial de los empleados

Información confidencial sobre clientes, proveedores o socios

Información comercial confidencial

Información comercialmente sensible

Información no sensible o pública

La empresa no almacena datos en computación en la nube o servicios de almacenamiento

9.¿Qué tan cómodo se siente al ejecutar servicios de seguridad basados en la nube?(Obligatorio).

Preferimos mantener la seguridad interna

Estamos probando algunos servicios de seguridad basados en la nube

Estamos usando algunos servicios de seguridad basados en la nube

Solo usamos servicios de seguridad basados en la nube

Hemos dejado de usar algunos servicios de seguridad basados en la nube

11.¿Quién o qué impulsó la implementación de las medidas de ciberseguridad: fueron un requisito externo o una iniciativa interna de alineación a un estándar de ciberseguridad o un programa de certificación de ciberseguridad? Seleccione las que apliquen.(Obligatorio).

Proveedor

Cliente

Regulación gubernamental

Requerimiento para licitación / RFP

Iniciativa interna de alineación a un estándar de ciberseguridad

Programa de certificación de ciberseguridad

Ataques y/o amenazas de ciberseguridad

Ninguna de las anteriores

12.¿Su organización compartió las mejores prácticas o información general sobre riesgos de ciberseguridad con sus colaboradores en 2021,como: la importancia de la complejidad de las contraseñas y técnicas básicas de seguridad; el mantener seguridad en su navegador web y prácticas seguras de navegación web; el evitar ataques de phishing; el reconocer y evitar el spyware; etc.?(Obligatorio).

17.Si ha lidiado con un incidente de ciberseguridad en el último año, ¿cuánto le costó remediar la brecha más dañina?(Obligatorio).

18.Seleccione los dos riesgos o amenazas de ciber seguridad que usted considera, tienen el impacto más perjudicial en su organización.(Obligatorio).

Robo o compromiso de software o hardware

Acceso no autorizado, manipulación y robo de datos

El robo de identidad

Estafas y fraude

Uso inadecuado de las computadoras o la red

Software malicioso

Denegación de servicio (DoS) o Denegación de servicio distribuida (DDoS)

Interrupción o desconfiguración de la presencia en la web

21.¿Con qué frecuencia su organización realiza actividades para identificar los riesgos de seguridad cibernética? Seleccione las que apliquen.(Obligatorio).

De forma programada

Después de que ocurra un incidente de ciberseguridad

Cuando se lanza una nueva iniciativa o proyecto de TI

De forma irregular

22.La organización donde labora ¿cuenta con un seguro de riesgo cibernético?(Obligatorio).

LA GESTIÓN DEL LÍDER DE LA CIBERSEGURIDAD DE LA ORGANIZACIÓN.

24.Certificación de seguridad que tiene el líder de ciberseguridad de la organización que se está postulando:(Obligatorio).

Cyber Security Foundation - CSFPCTM

Gerente Certificado de Seguridad de la Información

(ISC)2 CISSP (Profesional certificado en seguridad de sistemas de información)

(ISC)2 CCSP (Profesional certificado de seguridad en la nube)

CISM (Gestor de Seguridad de la Información Certificado)

CompTIA CASP+ (CompTIA Advanced Security Practitioner)

En proceso de certificarse

Otro (especifique)

27.¿Qué tan involucrada está actualmente la alta dirección, en la estrategia de seguridad en comparación con 2021?(Obligatorio).

28.¿Tiene suficiente personal calificado para mantenerse al día con las necesidades de ciberseguridad de la organización?(Obligatorio).

Sí tengo suficiente por ahora.

No y no estoy buscando actualmente.

No, y no he podido encontrar dentro de la organización.

No, y no he podido encontrar fuera de la organización.

29.En general, actualmente ¿cómo es la actitud de los usuarios hacia la ciberseguridad?(Obligatorio).

30.¿Cómo se mantiene actualizado en temas de ciber seguridad? Seleccione las que apliquen.(Obligatorio).

Tomando cursos, talleres y diplomados

Leyendo libros o artículos en revistas especializadas

Tomando capacitaciones técnicas de proveedores especializados

Asistiendo a eventos relativos a la ciberseguridad

Siguiendo las publicaciones de expertos del tema

31.¿Con qué frecuencia su personal especialista en ciberseguridad toma cursos de formación / actualización sobre seguridad?(Obligatorio).

32.¿Con qué frecuencia su personal del área de TI toma cursos de formación / actualización sobre seguridad?(Obligatorio).

33.¿Con qué frecuencia realiza cursos de formación sobre seguridad para los integrantes de la alta dirección de la organización?(Obligatorio).

34.¿Con qué frecuencia realiza cursos de formación sobre seguridad para los usuarios de la organización?(Obligatorio).

35.En 2021, ¿la alta dirección de su organización le ha dado más, menos o el mismo valor a la gestión de riesgos?(Obligatorio).

Más valor

Menos valor

Permaneció igual su apreciación

No le interesa

36.¿Cuáles son los impactos que más preocupan a la alta dirección de una brecha de seguridad? Seleccione las que apliquen.(Obligatorio).

Pérdidas financieras

Pérdida de la confianza del cliente.

Pérdida de la confianza de los inversores

Pérdida de ventaja competitiva

Posible responsabilidad legal de la empresa.

Cumplimiento potencial o sanciones gubernamentales

Responsabilidad personal potencial para los ejecutivos o la junta

Reputación

DATOS DEL PROYECTO POSTULADO

En esta sección, le solicitamos información relativa a los resultados del desarrollo e implementación del proyecto estratégico de ciberseguridad y de seguridad de la información que presenta y que ha coadyuvado a mantener la gestión, operación y posicionamiento de su organizaciones, en el año inmediato anterior a esta nominación.

37.Nombre del proyecto (en caso de existir).

38.Descripción del proyecto (mínimo 800 caracteres). Por favor, NO incluya los resultados obtenidos, éstos se solicitarán posteriormente:

39.¿Cuál es el objetivo general de su proyecto?:

Indique el periodo de realización del proyecto:

40.Fecha de inicio (DD/MM/AAAA):(Obligatorio).

41.Fecha de conclusión (DD/MM/AAAA):(Obligatorio).

42.A qué marco de trabajo (framework) de seguridad esta alineado su proyecto:(Obligatorio).

National Initiative for Cyber Security Education (NICE)

Cyber Security Body of Knowledge (CyBoK)

Cyber Security Education FrameworkJoint Task Force (JTF), consisting of ACM, IEEE, AIS SIGSEC and IFIP

CS4E D6.2

ENISA

CONCORDIA European Cyber Security Competence Framework and Map

MITRE ATT&CK

Otro (especifique)

43.Considerando las siguientes categorías de la seguridad cibernética, indique en cual desarrollo su proyecto.

Nota: Puede consultar el detalle de la información que contempla cada categoría, consultando la “Tabla 1: Categorías en que se agrupan las áreas del conocimiento de la seguridad cibernética”, la cual se encuentra en los anexos de esta publicación.(Obligatorio).

44.¿Qué metodología de administración de proyectos utilizó en el desarrollo de su proyecto?(Obligatorio).

Gestión de proyectos tradicional a través de Cascada PMI / PMBOK

Gestión de proyectos tradicional a través de PRINCE2

Gestión de proyectos tradicional a través de Proceso Racional Unificado (RUP)

Gestión de proyectos tradicional a través de Desarrollo rápido de aplicaciones (RAD)

Gestión de proyectos ágil a través de Scrum

Gestión de proyectos ágil a través de Métodos Crystal (Crystal Methods)

Gestión de proyectos ágil a través de Extreme Programming (XP)

Otro (especifique)

45.Describa los resultados de su proyecto (2,000 caracteres):

46.¿Algún proveedor o integrador colaboró en el desarrollo del proyecto?(Obligatorio).

47.En caso de ser afirmativa la respuesta anterior, ¿cuál es el nombre del proveedor o integrador?

48.Aproximadamente, ¿a cuánto asciende la inversión hecha en el proyecto? (Especificar si la cantidad se encuentra en dólares o pesos mexicanos. NOTA: Los datos que nos proporcione sólo serán utilizados con fines estadísticos, sin mencionar la fuente particular).(Obligatorio).

ADOPCIÓN Y USO DE TECNOLOGÍA DE CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN.

49.¿Cuál es su grado de satisfacción respecto a la calidad y relevancia de los productos y servicios que ofrecen los proveedores de seguridad?(Obligatorio).

51.¿Cuáles de los siguientes representan los mayores desafíos asociados con la gestión de una variedad de productos y servicios de seguridad de diferentes proveedores? Seleccione las que apliquen.(Obligatorio).

Necesitamos diferentes soluciones para diferentes entornos de infraestructura, que son administrados por equipos separados, lo que crea ineficiencias operativas.

Mi organización no tiene suficiente personal o habilidades para administrar nuestras tecnologías de seguridad de manera adecuada

Comparar una multitud de proveedores de seguridad agrega costos y complejidad al proceso de compra en mi organización

Todos nuestros productos de seguridad generan grandes volúmenes de alertas de seguridad, lo que dificulta la priorización e investigación de incidentes de seguridad.

Cada tecnología de seguridad exige su propia capacitación, implementación, administración y operaciones, lo que pone a prueba los recursos de mi organización

El personal de seguridad tiene que agregar resultados de tecnologías de seguridad independientes, lo que hace que las operaciones generales de seguridad sean complejas y requieran mucho tiempo.

Es difícil obtener una imagen completa de nuestro estado de seguridad utilizando muchas tecnologías de seguridad dispares

No tenemos ningún desafío

54.¿Qué tipo de herramientas de seguridad comprará el próximo año? Seleccione las que apliquen.(Obligatorio).

Firewalls de siguiente generación

Sistemas de detección / prevención de intrusos

Gestión de identidad y acceso

Cifrado y gestión de claves

Análisis de seguridad (SIEM)

Gestión de dispositivos móviles

Biométricos

Otro (especifique)

55.¿Qué tipo de servicios de seguridad comprará el próximo año? Seleccione las que apliquen.(Obligatorio).

Otro (especifique)

56.¿Su organización realiza algún tipo de evaluación de riesgos de los proveedores de tecnología y servicios de ciberseguridad, como la evaluación de los procesos de desarrollo de los proveedores, las cadenas de suministro cibernéticas, las certificaciones de seguridad, etc.?(Obligatorio).

Si, exhaustiva

Sí, de forma limitada

No, pero planeamos hacerlo en el futuro

No, y no tenemos planes o interés en hacerla

58.El presupuesto aproximado para ciberseguridad en su organización para el presente año es:(Obligatorio).

Menos de 1 millón de dólares

De 1 a 5 millones de dólares

De 5 a 10 millones de dólares

Más de 10 millones de dólares

No tengo presupuesto asignado para ciberseguridad

CIERRE DE LA POSTULACIÓN

59.Si tiene algún comentario complementario, por favor redáctelo aquí.

60.En caso de que algún dato no pueda ser publicado, por favor indíquelo en el siguiente espacio:(Obligatorio).

Agradecemos el tiempo dedicado a la presente encuesta. Próximamente nos pondremos en contacto con usted para dar seguimiento a la misma.

ANEXOS TÉCNICOS.

Tabla 1: Categorías en que se agrupan las áreas del conocimiento de la seguridad cibernética.
Fuente: CyBOK Version 1.0