Dos motores de puntuacion segun el tipo de formulario
Cada formulario inteligente organiza las preguntas en 6 dominios del NIST Cybersecurity Framework. Cada pregunta ofrece opciones de respuesta con puntajes diferenciados segun su nivel de madurez.
Para formularios de cumplimiento estandar, cada pregunta se responde con un valor fijo:
El score final es el promedio ponderado de todas las respuestas aplicables. Las preguntas marcadas como N/A se excluyen completamente del denominador.
Tres niveles que clasifican la postura de ciberseguridad del proveedor
Gobernanza madura con mejora continua. El proveedor demuestra controles de seguridad solidos, politicas formalizadas y procesos documentados. Existe un programa de mejora continua activo. Las brechas identificadas son menores y se gestionan proactivamente. La organizacion puede confiar en la relacion con este proveedor con supervision estandar.
Controles definidos pero en evolucion. El proveedor tiene controles parcialmente implementados. Existen politicas pero pueden no estar completamente formalizadas o aplicadas de manera consistente. Se requiere un plan de mejora con seguimiento periodico. La relacion puede continuar bajo condiciones y monitoreo reforzado.
Operacion reactiva con controles ad-hoc. El proveedor carece de controles formales de ciberseguridad. La gestion de riesgos es reactiva y no hay procesos documentados. Las brechas son significativas y representan un riesgo elevado para la organizacion. Se requiere decision de aprobacion, rechazo o plan de remediacion urgente.
Renovacion fluida. Supervision estandar. El proveedor puede ser considerado para servicios de mayor criticidad. Evaluaciones de seguimiento con frecuencia normal.
Plan de mejora obligatorio. Evaluaciones de seguimiento mas frecuentes. Posible aprobacion con excepcion que requiere validacion de un aprobador. Monitoreo activo de avances.
Escalamiento inmediato a aprobadores. Posible rechazo o suspension de la relacion. Si se aprueba con excepcion, se requiere plan de remediacion urgente con plazos cortos y seguimiento intensivo.
Los umbrales de 40% y 70% son los valores por defecto. Su organizacion puede configurar umbrales personalizados desde la administracion del programa TPRM segun su apetito de riesgo.
Los 6 dominios que componen el perfil de madurez del proveedor
Criticidad del proveedor x Nivel de madurez = Decision
| Criticidad \ Madurez | Alto (≥70%) | Medio (40-69%) | Bajo (<40%) |
|---|---|---|---|
| Critica | Aprobado | Excepcion | Rechazado |
| Alta | Aprobado | Excepcion | Rechazado |
| Media | Aprobado | Aprobado | Excepcion |
| Baja | Aprobado | Aprobado | Excepcion |
El proveedor cumple con los requisitos minimos para su nivel de criticidad. La relacion comercial puede continuar sin restricciones adicionales. Se programa la proxima evaluacion segun el ciclo estandar.
El proveedor no cumple completamente pero la relacion puede continuar bajo condiciones. Requiere escalamiento a un aprobador para validar la excepcion. Se genera un plan de mejora con plazos y tareas especificas. El analista realiza seguimiento periodico.
El proveedor no cumple con los requisitos para su nivel de criticidad. La relacion no deberia continuar o no deberia iniciarse. Se notifica al area de negocio responsable. Si se requiere una excepcion extraordinaria, debe escalar al nivel mas alto de aprobacion.
Seis tipos de reportes disponibles para analisis y toma de decisiones
Vision consolidada con KPIs principales: total de proveedores, cantidad de criticos, score promedio global, tareas pendientes, evaluaciones vencidas. Ideal para reportes a directivos y comite.
Vista detallada por proveedor: historial de evaluaciones, scores por dominio, evolucion temporal, hallazgos activos, planes de mejora en curso y estado actual de la relacion.
Tendencias globales a lo largo del tiempo: evolucion del score promedio, cantidad de proveedores por nivel de madurez, mejoras y deterioros en el portfolio completo.
Comparacion lado a lado de dos o mas proveedores. Util para evaluar alternativas, benchmark entre proveedores del mismo rubro o seguimiento de mejoras relativas.
Vista de cumplimiento Si/No por pregunta del formulario. Permite identificar rapidamente que controles cumple y cuales no el proveedor. Util para auditorias y revisiones rapidas.
Generador personalizado de reportes PDF. Seleccione que secciones incluir, filtre por proveedor, dominio o periodo. Ideal para crear informes ad-hoc para presentaciones o reguladores.
Senales de alerta y senales positivas que debe monitorear
Accion: Escalar a aprobadores. Evaluar suspension de la relacion. Generar plan de remediacion urgente con plazos de 30 dias. Notificar al area de negocio responsable.
Accion: Generar o actualizar plan de mejora. Aumentar frecuencia de evaluaciones. Asignar tareas especificas al proveedor con fechas de seguimiento. Considerar aprobacion con excepcion si aplica.
Accion: Mantener ciclo de evaluacion estandar. Considerar reducir frecuencia de evaluaciones si la tendencia es estable. El proveedor puede ser candidato para servicios de mayor criticidad.
Como rastrear la mejora del proveedor a lo largo del tiempo
Cada proveedor es re-evaluado periodicamente segun su nivel de criticidad. El ciclo de re-evaluacion permite medir la mejora o el deterioro en la postura de seguridad del proveedor. Los intervalos tipicos son:
Cuando el score nuevo es superior al anterior, indica que el proveedor implemento mejoras. El Dashboard Individual muestra la variacion exacta por dominio, permitiendo identificar donde se concentraron los esfuerzos.
Si el score baja entre evaluaciones, puede indicar relajacion de controles, cambios organizacionales o nuevos riesgos. Requiere atencion inmediata: revisar hallazgos, generar nuevo plan de mejora y considerar escalamiento.
Para proveedores con buen historial, la renovacion anual puede realizarse mediante un formulario simplificado (Template 17) que evalua los puntos criticos sin repetir la evaluacion completa. Este formulario cubre los controles esenciales y permite una renovacion agil manteniendo la gobernanza del programa. Se recomienda para proveedores con score ≥ 70% y tendencia estable.
Tablas de consulta rapida y glosario de terminos clave
| Rango | Nivel | Color | Significado |
|---|---|---|---|
| 70% - 100% | Alto | Verde | Gobernanza madura, mejora continua, controles solidos |
| 40% - 69% | Medio | Amarillo | Controles en evolucion, requiere plan de mejora |
| 0% - 39% | Bajo | Rojo | Operacion reactiva, controles ad-hoc, riesgo elevado |
| Codigo | Dominio | Alcance |
|---|---|---|
| GV | Govern | Gobernanza, estrategia de riesgo, politicas, roles y responsabilidades |
| ID | Identify | Gestion de activos, evaluacion de riesgos, entorno de negocio |
| PR | Protect | Control de acceso, seguridad de datos, capacitacion, proteccion |
| DE | Detect | Monitoreo continuo, deteccion de anomalias, alertas |
| RS | Respond | Respuesta a incidentes, comunicaciones, mitigacion |
| RC | Recover | Recuperacion, continuidad de negocio, mejoras post-incidente |
| Criticidad \ Madurez | Alto | Medio | Bajo |
|---|---|---|---|
| Critica / Alta | |||
| Media / Baja |
| Termino | Definicion |
|---|---|
| Score | Puntaje porcentual (0-100%) que representa el nivel de madurez en ciberseguridad del proveedor. |
| Madurez | Clasificacion cualitativa (Alto, Medio, Bajo) derivada del score que indica el grado de desarrollo de los controles. |
| Criticidad | Nivel de impacto que tendria una falla del proveedor en la organizacion (Critica, Alta, Media, Baja). |
| Hallazgo | Brecha o deficiencia detectada durante la evaluacion que requiere atencion o remediacion. |
| Plan de Mejora | Conjunto de tareas con plazos asignadas al proveedor para remediar los hallazgos identificados. |
| NIST CSF | NIST Cybersecurity Framework: marco de referencia para gestionar riesgos de ciberseguridad. |
| Excepcion | Aprobacion condicional de un proveedor que no cumple todos los requisitos, sujeta a plan de mejora. |