Logo

GUIA DE PLANES
DE MEJORA

Ciclo de Remediacion de Hallazgos
NV Third Party Risk Management
Documento destinado a: Analistas y Proveedores
Version: 1.0
Clasificacion: Interno
NV TPRM
Planes de Mejora
Ciclo de Remediacion

¿Que es un Plan de Mejora?

Generacion automatica de tareas de remediacion a partir de hallazgos

Origen automatico desde la evaluacion Cuando se completa una evaluacion de proveedor, el sistema identifica automaticamente las brechas (gaps): preguntas donde el proveedor no obtuvo el puntaje maximo en formularios inteligentes, o respondio "No" en formularios estandar. Cada hallazgo se convierte en una tarea de remediacion dentro de un Plan de Mejora.
Estructura del plan

Hallazgo (Gap)

Cada pregunta donde el proveedor no alcanzo la puntuacion maxima genera un hallazgo. El sistema registra la pregunta, la respuesta obtenida, el puntaje esperado y el dominio NIST CSF al que pertenece.

Tarea de remediacion

Cada hallazgo se transforma en una tarea concreta que el proveedor debe resolver. La tarea incluye una descripcion clara de lo que se espera, el dominio afectado y el espacio para justificacion y evidencia.

Vinculacion con el scoring

Cuando una tarea es validada por el analista, la respuesta original de la evaluacion se actualiza automaticamente a "Cumple", recalculando el puntaje del proveedor en tiempo real. Esto permite medir el progreso real de la remediacion.

Estados del plan de mejora
borrador
enviado_proveedor
en_progreso
en_aclaracion
completado
Formularios inteligentes vs. estandar En formularios inteligentes (smart), el gap se detecta cuando el puntaje de una respuesta es inferior al maximo posible. En formularios estandar, el gap se identifica cuando la respuesta es "No". En ambos casos, el sistema genera automaticamente las tareas correspondientes.
Guia de Planes de Mejora · NV TPRM · Pagina 2
NV TPRM
Planes de Mejora
Ciclo de Remediacion

Vista del Analista

Dashboard de seguimiento y gestion de tareas de remediacion

Panel de graficos
plan_mejora — nvtprm.com
Progreso General
68%
Gauge Chart
Por Dominio NIST
ID
PR
DE
RS
RC
Bar Chart por dominio
Multidimensional
Radar Chart
Pestanas de gestion de tareas
Pendientes 12
Aprobadas 8
Rechazadas 2
Todas 22
Acciones por tarea

Agregar comentarios

Escriba observaciones o instrucciones para el proveedor dentro de cada tarea. Los comentarios quedan registrados en el hilo de conversacion.

Solicitar evidencia

Pida al proveedor que adjunte documentacion de soporte. El proveedor recibe un email notificandole la solicitud de evidencia.

Aprobar (validada_analista)

Valida que el proveedor cumplio con la remediacion. El puntaje se recalcula automaticamente al aprobar la tarea.

Rechazar (incumplida)

Marca la tarea como no cumplida. La tarea permanece en el plan de remediacion para seguimiento futuro.

Operaciones masivas Seleccione multiples tareas a la vez para enviar solicitudes de evidencia en bloque. El sistema consolida las notificaciones en un unico email al proveedor, evitando saturar su bandeja de entrada.
Guia de Planes de Mejora · NV TPRM · Pagina 3
NV TPRM
Planes de Mejora
Ciclo de Remediacion

Vista del Proveedor

Acceso al portal mediante token y gestion de tareas asignadas

Acceso por token via email El proveedor accede al portal de remediacion a traves de un enlace unico enviado por correo electronico, el mismo mecanismo utilizado para las evaluaciones. No requiere cuenta ni contrasena.
Pestanas de filtro del proveedor
Requieren atencion 5
Pendientes 3
En Validacion 4
Validadas 8
Todas 20
Para cada tarea, el proveedor puede
Leer la descripcion del hallazgo

Ver el detalle completo de la tarea: que control falta, a que dominio NIST pertenece y que se espera del proveedor para remediarlo.

Escribir justificacion

Redactar una explicacion de como se abordo el hallazgo, que acciones se tomaron y que controles se implementaron para remediarlo.

Subir evidencia

Adjuntar un archivo de soporte por envio (capturas de pantalla, politicas, certificados, reportes). El archivo se almacena de forma segura y queda visible en el hilo de conversacion.

Marcar como Resuelta

Una vez completada la justificacion y cargada la evidencia, el proveedor marca la tarea como resuelta. Esto la envia al analista para su validacion.

Mockup del portal del proveedor
portal_proveedor — nvtprm.com/remediation
Tarea: Implementar politica de gestion de accesos
Dominio: Proteger (PR) · Subcategoria: PR.AC
Requiere atencion
Justificar Subir evidencia Marcar resuelta
Evidencia: un archivo por envio Cada vez que el proveedor sube evidencia, puede adjuntar un unico archivo. Si necesita enviar multiples documentos, puede realizar envios sucesivos. Todos los archivos quedan visibles cronologicamente en el hilo de la tarea.
Guia de Planes de Mejora · NV TPRM · Pagina 4
NV TPRM
Planes de Mejora
Ciclo de Remediacion

Flujo de Remediacion

Desde la evaluacion hasta el cierre del plan de mejora

1
Evaluacion completada: gaps identificados

Al finalizar la evaluacion del proveedor, el sistema detecta automaticamente todas las preguntas donde no se alcanzo el puntaje maximo o la respuesta fue negativa.

2
Plan autogenerado en estado borrador

Se crea automaticamente un plan de mejora con una tarea por cada hallazgo encontrado. El plan queda en estado borrador para que el analista lo revise.

4
Envio del plan al proveedor

El analista envia el plan y el proveedor recibe un email con el enlace de acceso al portal de remediacion. El plan pasa a enviado_proveedor.

5
El proveedor trabaja en las tareas

El proveedor accede al portal, redacta justificaciones, sube evidencias y marca las tareas como resueltas. El plan pasa a en_progreso.

6
El analista valida cada tarea

Para cada tarea resuelta, el analista tiene tres opciones:

Aprobar

La tarea pasa a validada_analista. El scoring se recalcula automaticamente y la respuesta original se actualiza a "Cumple".

Pedir mas evidencia

La tarea se reabre y el proveedor recibe un email solicitando informacion adicional. La tarea vuelve al estado pendiente del proveedor.

Rechazar

La tarea se marca como incumplida y permanece en el plan de remediacion sin afectar el scoring.

7
Todas las tareas validadas: Plan completado

Cuando todas las tareas del plan estan validadas por el analista, el plan pasa automaticamente a estado completado. El proveedor muestra su postura de seguridad mejorada.

Guia de Planes de Mejora · NV TPRM · Pagina 5
NV TPRM
Planes de Mejora
Ciclo de Remediacion

Comunicacion y Comentarios

Sistema de conversacion bidireccional dentro de cada tarea

Hilo de conversacion en una tarea
tarea_detalle — nvtprm.com
Tarea: Implementar politica de control de accesos
Ana Garcia (Analista) Se requiere documentacion de la politica de control de accesos implementada. Por favor adjunte la politica vigente y capturas del sistema de gestion de identidades.
Proveedor XYZ Adjunto la politica de accesos actualizada. Implementamos MFA para todos los accesos privilegiados el mes pasado.
Evidencia adjunta politica_accesos_v2.pdf (1.2 MB)
Ana Garcia (Analista) Gracias. Necesito tambien una captura de pantalla del panel de MFA mostrando la cobertura de usuarios.
Evidencia adjunta captura_mfa_dashboard.png (890 KB)
Sistema de notificaciones

Notificacion al proveedor

El proveedor recibe un email cuando el analista solicita evidencia o agrega un comentario en alguna de sus tareas. El email incluye el enlace directo al portal de remediacion.

Notificacion al analista

El analista recibe una notificacion in-app cuando el proveedor sube evidencia, escribe un comentario o marca una tarea como resuelta. Visible desde el panel de notificaciones.

Solicitudes masivas de evidencia

Cuando el analista solicita evidencia para multiples tareas a la vez, el sistema consolida todo en un unico email al proveedor. El correo lista todas las tareas que requieren atencion, evitando multiples notificaciones separadas y facilitando el seguimiento.

Orden cronologico Todos los comentarios, evidencias y cambios de estado se muestran en orden cronologico dentro de cada tarjeta de tarea. Esto proporciona una traza completa de la interaccion entre analista y proveedor para cada hallazgo.
Guia de Planes de Mejora · NV TPRM · Pagina 6
NV TPRM
Planes de Mejora
Ciclo de Remediacion

Recalculo de Scoring

Como la validacion de tareas impacta el puntaje del proveedor

Impacto directo en la evaluacion Cada tarea del plan de mejora esta vinculada a una pregunta especifica de la evaluacion original. Cuando el analista aprueba una tarea, el sistema actualiza automaticamente la respuesta del proveedor y recalcula todos los puntajes asociados.
Proceso de recalculo
El analista aprueba una tarea
Tras revisar la justificacion y evidencia, el analista marca la tarea como validada_analista.
Accion del analista
Respuesta de evaluacion actualizada
La respuesta original de la pregunta vinculada cambia automaticamente a "Cumple". El campo estado_respuesta pasa a "aceptada".
Accion automatica del sistema
Recalculo del scoring inteligente
El motor de scoring recalcula el puntaje en todos los dominios NIST CSF afectados: Identificar, Proteger, Detectar, Responder y Recuperar.
Accion automatica del sistema
Graficos actualizados en tiempo real
Los graficos de gauge, barras y radar reflejan inmediatamente el nuevo puntaje, mostrando el progreso real de la remediacion.
Actualizacion visual
Ejemplo visual de progreso
Antes de remediacion
42%
Madurez: Baja
15 hallazgos identificados
Durante remediacion
68%
Madurez: Media
8 tareas validadas
Remediacion completa
91%
Madurez: Alta
15 tareas validadas
Mejora visible en la postura de seguridad El recalculo automatico permite que tanto el analista como el proveedor vean en tiempo real como cada tarea validada contribuye a mejorar la postura de seguridad general. Esto incentiva la remediacion proactiva y proporciona metricas objetivas de mejora continua.
Guia de Planes de Mejora · NV TPRM · Pagina 7
NV TPRM
Planes de Mejora
Ciclo de Remediacion

Buenas Practicas

Recomendaciones para analistas y proveedores

Para analistas

Plazos realistas

Establezca fechas limite alcanzables para cada tarea. Considere la complejidad del control a implementar y los recursos disponibles del proveedor. Un plazo demasiado ajustado genera respuestas incompletas.

Descripciones claras

Redacte descripciones de tareas que sean especificas y accionables. Indique exactamente que evidencia espera recibir y que criterios de aceptacion utilizara para validar.

Operaciones masivas

Utilice las solicitudes de evidencia en bloque cuando necesite pedir documentacion para multiples tareas. Esto ahorra tiempo y consolida las notificaciones al proveedor en un solo email.

Validacion oportuna

Revise y valide las tareas resueltas de forma oportuna. Un retraso en la validacion desmotiva al proveedor y alarga innecesariamente el ciclo de remediacion.

Para proveedores

Justificaciones detalladas

Explique con detalle que acciones tomo, que controles implemento y como se aborda el hallazgo. Una justificacion pobre genera solicitudes adicionales de evidencia y retrasa el cierre.

Evidencia clara y pertinente

Adjunte capturas de pantalla con contexto visible, documentos de politica vigentes, certificaciones actualizadas o reportes de auditoria. La evidencia debe demostrar claramente el cumplimiento.

Responder al feedback

Cuando el analista solicita informacion adicional o rechaza una tarea, lea los comentarios con atencion y responda abordando cada punto mencionado. No reitere la misma evidencia sin mejoras.

Actuar con prontitud

Las tareas marcadas como "Requieren atencion" (en rojo) indican que el analista espera una respuesta. Priorice estas tareas para mantener el flujo de remediacion activo.

Errores comunes a evitar
Marcar tareas como resueltas sin evidencia

El analista rechazara tareas que no incluyan justificacion ni documentacion de soporte. Siempre adjunte evidencia antes de marcar como resuelta.

Ignorar solicitudes de informacion adicional

Cuando el analista solicita mas evidencia, la tarea se reabre. No responder deja la tarea indefinidamente en estado pendiente y retrasa todo el plan.

Subir documentos genericos o desactualizados

La evidencia debe ser especifica al hallazgo y reflejar el estado actual de los controles. Documentos antiguos o genericos seran rechazados.

Guia de Planes de Mejora · NV TPRM · Pagina 8
NV TPRM
Planes de Mejora
Ciclo de Remediacion

Referencia Rapida

Tablas de estado, ciclo de vida y diferencias entre vistas

Estados del plan de mejora
Estado Descripcion Quien actua
borrador Plan recien generado, pendiente de revision por el analista Analista
enviado_proveedor Plan enviado al proveedor, esperando que comience la remediacion Proveedor
en_progreso El proveedor esta trabajando activamente en las tareas Proveedor / Analista
en_aclaracion El analista solicito informacion adicional sobre alguna tarea Proveedor
completado Todas las tareas fueron validadas exitosamente Automatico
Estados de las tareas individuales
Estado Significado Siguiente paso
pendiente Esperando accion del proveedor Proveedor justifica y sube evidencia
resuelta_proveedor El proveedor marco la tarea como resuelta Analista revisa y valida
validada_analista Aprobada por el analista, scoring recalculado Tarea cerrada exitosamente
incumplida Rechazada por el analista Permanece en remediacion
Diferencias clave entre vistas

Vista del analista

  • Graficos de progreso (gauge, barras, radar)
  • Aprobar, rechazar y revertir tareas
  • Solicitar evidencia individual o masiva
  • Agregar comentarios y observaciones
  • Ver recalculo de scoring en tiempo real

Vista del proveedor

  • Filtros por estado de atencion requerida
  • Escribir justificaciones por tarea
  • Subir evidencia documental
  • Marcar tareas como resueltas
  • Ver hilo de conversacion con el analista
¿Necesita ayuda? Si tiene dudas sobre el proceso de remediacion, contacte al analista asignado a su evaluacion o al administrador del sistema NV TPRM de su organizacion.
Documento generado por
NV TPRM
Third Party Risk Management
Guia de Planes de Mejora · NV TPRM · Pagina 9