Biblioteca de Entregables
Esta herramienta permite explorar todos los entregables (documentos, productos y resultados tangibles) que cada perfil profesional del ECSF produce como parte de sus responsabilidades.
¿Qué son los entregables?
Los entregables son los productos concretos y medibles que un profesional genera en el ejercicio de su rol. Representan el output tangible de su trabajo y pueden incluir:
- 📋 Documentos estratégicos: Políticas, estrategias, planes
- 📊 Informes técnicos: Análisis, auditorías, evaluaciones
- 📘 Manuales y guías: Procedimientos, metodologías, formación
- 🔍 Resultados de análisis: Forense, vulnerabilidades, inteligencia
- ✅ Evidencias y certificaciones: Informes de cumplimiento, certificados
Características de los entregables
🎯 Específicos y medibles
Cada entregable tiene un propósito claro y resultados que pueden ser evaluados objetivamente.
🤝 Colaborativos
Varios perfiles pueden contribuir al mismo entregable, facilitando el trabajo en equipo.
📝 Documentados
Siguen estándares y metodologías establecidas en la industria de ciberseguridad.
🔄 Actualizables
Deben mantenerse vigentes y actualizarse según evoluciona el panorama de amenazas.
Biblioteca Interactiva
Diagrama de Arquitectura de Ciberseguridad
Representación visual de la arquitectura del sistema de ciberseguridad de una organización utilizada para proteger activos contra ciberataques
Estrategia de Ciberseguridad
Plan de acciones diseñado para mejorar la seguridad y resiliencia de las infraestructuras y servicios de la organización
Evidencia Electrónica
Evidencia potencial derivada de datos contenidos en o producidos por cualquier dispositivo, cuyo funcionamiento depende de un programa de software o datos almacenados o transmitidos a través de un sistema informático o red (p. ej., recopilación precisa de registros)
Informe de Amenazas Cibernéticas
Informe que identifica amenazas principales, tendencias importantes observadas con respecto a amenazas, actores de amenazas y/o técnicas de ataque. El informe también puede incluir medidas de mitigación relevantes
Informe de Auditoría de Ciberseguridad
Informe que proporciona una comprensión exhaustiva del nivel de seguridad de un sistema, evaluando sus fortalezas y debilidades de ciberseguridad. También puede proporcionar acciones de remediación para mejorar la ciberseguridad general del sistema
Informe de Cumplimiento
Informe que presenta el estado actual de la postura de cumplimiento de una organización
Informe de Evaluación de Riesgos de Ciberseguridad
Informe que enumera los resultados de la identificación, análisis y evaluación de riesgos de ciberseguridad de un sistema. También puede incluir controles para mitigar o reducir los riesgos identificados a un nivel aceptable
Informe de Incidentes Cibernéticos
Informe que proporciona detalles sobre uno o más incidentes cibernéticos
Informe de Pruebas de Penetración
Informe que proporciona un análisis detallado y completo de las vulnerabilidades de un sistema identificadas durante una prueba de seguridad. El informe también puede incluir acciones de remediación sugeridas
Informe de Requisitos de Ciberseguridad
Informe que enumera un conjunto de requisitos necesarios para garantizar la ciberseguridad de un sistema
Informe de Resultados de Evaluación de Vulnerabilidades
Informe que enumera y evalúa la criticidad de las vulnerabilidades descubiertas en un sistema durante un escaneo de vulnerabilidades (generalmente automático). El informe también puede sugerir acciones básicas de remediación
Manual de Cumplimiento
Manual que proporciona una comprensión exhaustiva de las obligaciones de cumplimiento normativo de una organización. Puede incluir políticas o procedimientos internos para garantizar el cumplimiento con leyes, regulaciones y/o estándares
Manual de Inteligencia de Amenazas Cibernéticas
Manual que presenta herramientas y/o metodologías para la recopilación y/o intercambio de inteligencia de amenazas cibernéticas
Material de Formación en Ciberseguridad
Material que explica conceptos, metodologías y herramientas relacionados con la ciberseguridad para formación o mejora de habilidades de individuos. Puede incluir Manuales para profesores, Conjuntos de herramientas para estudiantes y/o Imágenes Virtuales para apoyar sesiones de formación práctica
Plan de Acción de Remediación de Riesgos de Ciberseguridad
Plan de acción que enumera actividades relacionadas con la implementación de medidas de mitigación destinadas a reducir los riesgos de ciberseguridad
Plan de Auditoría de Ciberseguridad
Plan que presenta la estrategia general y los procedimientos que un auditor seguirá para realizar una auditoría de ciberseguridad
Plan de Respuesta a Incidentes
Conjunto de procedimientos documentados que detallan los pasos a seguir en cada fase de la respuesta a incidentes (Preparación, Detección y Análisis, Contención, Erradicación y Recuperación, Actividad Post-Incidente)
Política de Ciberseguridad
Conjunto de reglas para garantizar la ciberseguridad de la organización
Programa de Concienciación en Ciberseguridad
Programa de actividades para crear conciencia sobre problemas relacionados con la ciberseguridad (p. ej., conferencias sobre ataques y amenazas) ayudando a las organizaciones a prevenir y mitigar riesgos de ciberseguridad relacionados
Publicación en Ciberseguridad
Publicación académica que divulga hallazgos y resultados de investigación en el contexto de la ciberseguridad. El propósito de la publicación puede ser avanzar la tecnología y/o desarrollar nuevas soluciones innovadoras
Resultados del Análisis Forense Digital
Resultados del análisis de datos digitales que descubren evidencias potenciales de incidentes maliciosos e identifican posibles actores de amenazas
Soluciones de Ciberseguridad
Las soluciones de ciberseguridad pueden incluir herramientas y servicios que tienen como objetivo proteger a las organizaciones contra ciberataques
ℹ️ Acerca de los entregables
Los entregables son los productos, documentos o resultados tangibles que cada perfil profesional produce como parte de sus responsabilidades. Un mismo entregable puede ser producido por múltiples perfiles, lo que facilita la colaboración interdisciplinar en las organizaciones.
Entregables por categoría
Los entregables se pueden clasificar según su función principal:
📋 Estratégicos y de planificación
- Estrategia de Ciberseguridad: Define la visión y dirección a largo plazo
- Política de Ciberseguridad: Establece reglas y normativas organizacionales
- Manual de Cumplimiento: Documenta obligaciones regulatorias
🔍 Análisis y evaluación
- Informe de Auditoría: Evalúa el cumplimiento y efectividad de controles
- Evaluación de Riesgos: Identifica y cuantifica riesgos de ciberseguridad
- Informe de Amenazas: Analiza el panorama actual de amenazas
- Resultados de Pentesting: Documenta vulnerabilidades identificadas
🚨 Operacionales y de respuesta
- Plan de Respuesta a Incidentes: Procedimientos para gestión de incidentes
- Informe de Incidentes: Documenta detalles de incidentes ocurridos
- Evidencia Electrónica: Datos forenses para investigaciones
📚 Formación y desarrollo
- Programa de Concienciación: Actividades para sensibilizar sobre ciberseguridad
- Material de Formación: Recursos educativos y de capacitación
🏗️ Técnicos y de diseño
- Diagrama de Arquitectura: Diseño de infraestructura segura
- Informe de Requisitos: Especificaciones de seguridad
- Soluciones de Ciberseguridad: Herramientas y servicios implementados
Casos de uso
💼 Para gestores de proyectos
Escenario: Necesitas planificar un proyecto de implementación de un SGSI (Sistema de Gestión de Seguridad de la Información).
➡️ Identifica qué entregables son necesarios y qué perfiles deben producirlos para asignar recursos correctamente.
🎓 Para auditores y consultores
Escenario: Debes evaluar la madurez de ciberseguridad de una organización.
➡️ Utiliza la biblioteca para verificar qué documentos y entregables clave deberían existir en la organización.
🏢 Para CISOs y responsables de seguridad
Escenario: Estás estructurando el programa de ciberseguridad de tu organización.
➡️ Revisa los entregables estándar para asegurar que tu programa cubre todas las áreas críticas y genera la documentación necesaria.
📋 Para responsables de cumplimiento
Escenario: Necesitas demostrar conformidad con regulaciones como NIS2, GDPR o esquemas de certificación.
➡️ Identifica qué entregables son evidencias de cumplimiento y asegúrate de que estén actualizados y completos.
Ciclo de vida de los entregables
| Fase | Actividades | Ejemplo |
|---|---|---|
| 1. Creación | Desarrollo inicial del entregable siguiendo metodologías | Primera versión de la Política de Ciberseguridad |
| 2. Revisión | Validación por partes interesadas y expertos | Auditoría interna de la política |
| 3. Aprobación | Firma y autorización por la dirección | Aprobación del CISO y la alta dirección |
| 4. Implementación | Puesta en marcha y comunicación | Formación del personal en la nueva política |
| 5. Mantenimiento | Actualizaciones periódicas según cambios | Revisión anual o tras incidentes significativos |
Mejores prácticas
Mantén un control estricto de versiones de todos los entregables, incluyendo fecha de creación, autor, revisiones y aprobaciones.
Asegúrate de que los entregables estén accesibles para quienes los necesiten, respetando la clasificación de información y controles de acceso.
Utiliza plantillas y formatos estándar para facilitar la comprensión y el mantenimiento de los entregables.
Más herramientas
Perfiles Profesionales
Explora en detalle cada uno de los 12 perfiles y sus responsabilidades.
Buscador de Conocimientos
Identifica qué perfiles requieren conocimientos específicos.
Relación con marcos y estándares
Los entregables del ECSF se alinean con marcos internacionales reconocidos:
Política de Seguridad, Análisis de Riesgos, Declaración de Aplicabilidad
Perfiles de Implementación, Evaluaciones de Riesgo, Planes de Respuesta
Evaluación de Impacto en la Privacidad (DPIA), Registros de Tratamiento
Informes de Incidentes, Planes de Gestión de Riesgos, Políticas de Ciberseguridad
Entregables definidos en el European Cybersecurity Skills Framework (ECSF) de ENISA, 2022